能够使用 WAF 将 AWS Lambda 函数列入白名单或在 VPC 中运行 Lambda

Question

我正在使用 LambStatus https://lambstatus.github.io/ 创建一个状态页面，并希望通过 cloudwatch 警报自动更新组件的状态。我必须限制状态页面的流量。我目前只有来自 VPN 或我们的 VPC IP 地址的流量列入白名单。在理想情况下，cloudwatch 警报会触发 SNS ----> Lambda 函数 ---> 卷曲 API 端点以更新组件。

我需要将 Lambda 放置在 VPC 中，以便 HTTPS 补丁来自一组 IP 地址，或者发现将 VPC 列入白名单的其他方式。

Lambda 函数可以访问 VPC 资源，但仍存在于默认 VPC 中。我是否可以控制 lambda 函数的 IP 地址或有办法将 lambda 请求列入白名单？

Answer 1

如果您计划使用 WAF，由于 Lambda 使用 EC2 范围内的 IP 地址，因此您需要在 CURL 中添加显式标头，并且仅当标头存在时才允许 WAF 中的请求。

既然您提到了 WAF，我假设 API 端点是一个公共端点，可以通过公共 IP 地址访问。

在这种情况下，最好的选择是在 VPC 中使用 Lambda。 Lambda 与 VPC 环境中的公共 IP 通信，它需要启动一个私有子网，您可以选择一个具有到 NAT 网关的默认路由的子网，NAT 网关需要一个弹性 IP 地址，因此来自 Lambda 的所有流量都会去通过 NAT 网关，您可以将 NAT 网关 IP 列入白名单。 我不建议使用 NAT 实例，因为我不知道实例类型和请求数量。