限制与VPC连接的Lambda函数的IP地址
0
【以下的问题经过翻译处理】 一个客户有连接到VPC的Lambda函数,该VPC与他的本地资源有连接(要么是DirectConnect/VPN)。
他使用Lambda函数来调用他的本地资源的API,但是他的安全团队建议在目标端(本地)的允许防火墙规则不要太宽泛。因此,理想情况下,他想要仅允许单个私有ip的白名单。
通常,如果Lambda函数连接到VPC中的私有子网并使用NAT网关穿越公共互联网,他们可以仅允许NAT网关公共IP。
但是,在他的情况下-由于Lambda从API调用将使用DirectConnect/VPN返回他的本地资源,我们能为他提供什么其他建议以满足其安全团队?
据我所知,由于与VPC中的Lambda函数相关联的ENIs不是静态的,Lambda函数可以使用子网范围内的任何IP,除了使用最小的/28私有子网用于他的Lambda并允许列出该范围外,我们还有其他选项吗?
1 réponse
- Le plus récent
- Le plus de votes
- La plupart des commentaires
0
【以下的回答经过翻译处理】 您应该拥有一个小的子网,并将该子网的范围列入白名单。实际上,您至少需要两个这样的小子网,因为我们始终建议使用至少两个可用区。
Contenus pertinents
- demandé il y a un an
- demandé il y a 7 mois
- demandé il y a un an
AWS OFFICIELA mis à jour il y a un an- AWS OFFICIELA mis à jour il y a 3 ans
- AWS OFFICIELA mis à jour il y a un an