私はいくつかのAWS APIと話す必要のあるラムダを持っています。 インスタンスのIPアドレスを取得し、Route53レコードセットを更新するために、EC2およびRoute53 APIにアクセスします。AWSラムダ - AWS APIと話すための最低限のセキュリティグループは何ですか?
ラムダは、ap-southeast-2のプライベートVPCで動作します。 APIが動作するために呼び出すためには、私はラムダのセキュリティグループに、次の出口のルールを追加する必要があります。
resource "aws_security_group_rule" "https-egress-lambda-to-all" {
type = "egress"
from_port = 443
to_port = 443
protocol = "tcp"
security_group_id = "${aws_security_group.lambda-sg.id}"
cidr_blocks = ["0.0.0.0/0"]
}
現時点では、このルールは"allow this lambda to talk to anything on the internet via port 443"
を言います。その声明を"allow this lambda to talk to the AWS API servers only"
に絞りたいと思います。
私はVPCエンドポイントがこれが行われるはずの方法かもしれないと思っていましたが、それは明らかにS3のためだけに機能します。
セキュリティグループの出力ルールをロックして、AWS APIサーバのみにアクセスできる方法はありますか。
しかし、これらのIPアドレスのうち、APIリクエストを処理するものはどれですか? AWS上で動作するものだけにロックする努力をする価値はないようですが、それは最近のインターネットの半分です。それを開いたままにしておくこともできます(これは私が最初に傾いていた場所ですが、明らかに何かが欠けているかどうかを見たいと思っていました)。 – Shorn