#amazon-web-services #aws-lambda #aws-security-group #outbound
#amazon-web-services #aws-lambda #aws-security-group #исходящие
Вопрос:
У меня есть лямбда и мой скрипт запущен на нем, он подключается к базе данных, я подключил группу безопасности к этой лямбде, исходящие правила разрешают все протоколы и все порты, это кажется слишком разрешительным, но я не уверен, как изменить его на нужную мне настройку, есть какие-либо предложения?
Как мне сузить диапазон разрешений, чтобы мой lambda также работал? Или безопасно ли сохранять это таким образом?
Ответ №1:
Вы можете использовать security_groups в egress , чтобы ограничить исходящий трафик для SG вашей базы данных:
egress {
from_port = 0
protocol = -1
to_port = 0
security_groups = [database_security_group_id]
}
Комментарии:
1. и что означают эти 0, -1,0?
2. Я только что попробовал, и, по-видимому,
security_groupэто недопустимый параметр, он выдал мне ошибкуError: Incorrect attribute value type3. @Cecilia пожалуйста, прочтите документацию . В нем четко объясняется, что означают значения. Таким образом, вы получите ответы быстрее.
4. @Cecilia Можете ли вы уточнить вопрос, указав, как именно вы сейчас изменяете правило выхода?
5. Привет @Marcin Я решил эту проблему, спасибо за понимание,
security_groupsэто недопустимый параметр для правила выхода, нам все еще нужно использоватьcidr_blocks=xxx, я просто указал диапазон портов и протокол, чтобы использовать те, которые я использую для своей базы данных, чтобы он не разрешал доступ к другим портам и протоколам.