【问题标题】:Lambda security group to S3 and Secrets ManagerLambda 安全组到 S3 和 Secrets Manager
【发布时间】:2021-07-24 17:32:29
【问题描述】:

我是 Terraform (TF) 和 AWS 的新手。我创建了一个 TF,它创建了一个 RDS 集群、VPC 和安全组、S3 存储桶、秘密管理器 (SM) 中的秘密,以及一个访问上述所有内容的 lambda。我已将 RDS VPC 和安全组附加到 lambda。所以lambda中的代码可以成功访问RDS。我的问题是我需要一个安全组,它允许 lambda 代码从秘密管理器读取以获取 RDS 用户帐户和 S3 以获取要在 RDS 上执行的 sql 脚本。因此,具有出站到 S3 和机密管理器的安全组。

我如何让 terraform 计算(数据)到 SM 和 S3 的详细信息。然后使用此信息创建安全组以允许 lambda 代码访问 SM 和 S3。

目前我正在强制使用“All to All on 0.0....”,这在生产环境中是不允许的。

【问题讨论】:

  • 您是否尝试过将 Secrets Manager 与 VPC 终端节点一起使用? docs.aws.amazon.com/secretsmanager/latest/userguide/… 这将允许从“VPC 中的 Lambda”访问 SSM。您也可以为此使用 S3 VPC 终端节点。请记住,它不是免费的,并且有额外的费用,特别是对于密集使用。对于您的场景,听起来不错

标签: amazon-web-services amazon-s3 aws-lambda terraform aws-secrets-manager


【解决方案1】:

因此,具有出站到 S3 和机密管理器的安全组。

最简单的方法是使用 S3 VPC 接口端点,而不是 S3 网关。因此,如果您有两个用于 S3 和 SM 的端点,则它们都将与您必须在代码中创建的 SG 相关联,否则它们将使用默认的一个。

因此,为了简单地限制您的 lambda 对 S3 和 SM 的访问,您只需在 lambda 的 SG 中引用接口的 SG。

【讨论】:

  • 如何在 terraform 中进行设置
  • @Peter 我建议您尝试自己做,然后如果遇到困难,提出新问题,包括任何错误消息和您的 TF 代码。您当前的问题非常笼统,因此不可能给您任何代码。顺便说一句,如果答案很有帮助,我们将不胜感激。
猜你喜欢
  • 2023-01-01
  • 2019-04-16
  • 2020-09-28
  • 2020-11-27
  • 2020-08-23
  • 2023-01-26
  • 2023-03-18
  • 2021-11-19
  • 1970-01-01
相关资源
最近更新 更多