我正在尝试“填充”连接到我的 ALB 的 SG,以允许来自 Cloudfront 的流量进入。
此 ALB/CF 分配是通过 Cloudformation 创建的。我目前有一个 Lambda 函数来处理来自 AmazonIpSpaceChanged 的 SNS 消息。但是,当我创建此 CF 堆栈时,需要触发 SNS 消息以最初填充 SG。
有没有办法创建一个 SNS 消息来触发这个 Lambda 函数?我查看了 SNS 支持的自定义资源,但这似乎不起作用。
【问题讨论】:
标签: amazon-web-services aws-lambda amazon-cloudformation amazon-sns
我个人也遇到过这个问题。我无法让我的 SNS 主题触发 lambda 函数。但是,我可以使用自定义资源来做到这一点。
只要 lambda 函数与 CloudFormation 模板中的自定义资源相关联,就会在创建该自定义资源期间调用它。您将不得不依赖其中包含代码的 cloudformation 资源,因为如果它在 lambda 函数创建之前触发,它将无法工作。
【讨论】:
为什么不直接从 CloudFormation 使用 AWS::EC2::SecurityGroupIngress 将规则添加到安全组?
InboundRule:
Type: AWS::EC2::SecurityGroupIngress
Properties:
IpProtocol: tcp
FromPort: 0
ToPort: 65535
SourceSecurityGroupId:
Fn::GetAtt:
- XX_NEW_SECURITY_GROUP_XX
- GroupId
GroupId: sg-XX_EXISTING_GROUP_XX
【讨论】:
您可以使用的一个选项是 CloudFormation API 提供的通知功能:调用UpdateStack 时,您可以提供NotificationARNs 的列表,这是一个 SNS 主题列表,会收到有关您的每个 CloudFormation 相关更改的通知堆。您可以将通知 SNS 主题设置为您订阅 AWS Lambda 函数的 SNS 主题。这当然只有在您不将 SNS 主题创建为 CloudFormation 堆栈的一部分时才有效,您不依赖 SNS 消息上的内容,只需要这样的消息作为触发器,并且如果您在您的Lambda 函数仅对对您重要的消息做出反应(例如仅在堆栈创建时进行更新,而不是在堆栈删除时进行更新)。
使用 AWS CLI 及其 deploy 命令,指定通知 ARN 如下所示:
aws cloudformation deploy \
--template-file your-template.yaml \
--stack-name your-stack \
--notification-arns arn:aws:sns:us-east-1:1234567890123456:yourtopic
【讨论】: