从 AWS lambda 函数命中另一个账户中的 EC2 实例

Question

我们在一个账户中有一个 Lambda 函数，我们想访问另一个附加了公共 IP 的 VPC 中的 EC2 实例（通过 HTTP）。我想知道执行这种交流的最佳方式是什么。我是 Lambda 的新手，我刚刚了解了 VPC lambda。我需要在 EC2 实例的安全组上打开哪些 CIDR？我可以在源 VPC 中选择一组特定的公共 IP - 这样我可以在 SG 中将该范围列入白名单吗？

VPC 对等似乎是这种情况下的开销还是唯一可能的解决方案？

Answer 1

这一切都取决于您的要求。但是，对等 VPC 是让流量留在您受信任的私有子网中的最佳方式，这些子网位于满足安全最佳实践（威胁/安全模型和云/网络架构）。

如果企业政策有严格的规定，即通信不得通过 DMZ/公共 Internet 进行路由，并且必须将事情保持在内部路由的可信边界内，我认为除了采用之外别无选择VPC 对等互连：https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/peer-with-vpc-in-another-account.html

但是，如果要求不那么严格，并且您可以使用公共互联网通过 DMZ 转发您的流量，则可以在不牺牲太多安全性的情况下实现此目的（假设您的 EC2 与其他帐户的公共 IP 提供通过 SSL/TLS 提供服务，您的 lambda 可以在验证 EC2 证书时通过加密通信通道与其通信）。

这可以通过让 Lambda 与您的 VPC 的内部子网关联以与具有公共 IP 的其他账户的 EC2 通信来实现。 https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

是的，您仍然可以将 Lambda 保留在内部子网中。但是您需要一个 NAT GATEWAY 并更新 Lambda 内部子网的路由表以指向 NAT GATEWAY（应该分配一个 EIP），即它将随后指向您的 INTERNET GATEWAY。这样，您将确保位于您的 VPC 私有子网中的 LAMBDA 可以与外部通信，即与位于另一个帐户的具有公共 IP 的 EC2 实例通信。因此，您可以将其他账户中 EC2 的 SecurityGroups 中的一个 IP 列入白名单，该 IP 是您的 NATGATEWAY 的 EIP，Lambda 或该子网中的任何其他内部组件将使用它来找到通往 Internet 的路径。