1回答
- 新しい順
- 投票が多い順
- コメントが多い順
0
【以下的回答经过翻译处理】 流量永远不会离开AWS网络,但会经过AWS网络的互联网部分,而不是AWS网络的内部部分。
如果您在VPC内运行Lambda函数,并为函数使用的所有服务提供VPC端点,则流量不会通过NAT网关离开VPC,完全停留在AWS的“内部”侧。
如果您的所有函数调用的AWS API都具有VPC端点(或者您正在使用AWS PrivateLink调用第三方API),则可以阻止任何互联网访问。
对于此示例,SNS和KMS都具有VPC端点。
要积极阻止互联网流量,可以以多种方式进行此操作:
- 安全组可让您将所有端点添加到安全组中,仅允许函数与该安全组通信,而不是默认的0.0.0.0/0。
- 在VPC上配置AWS网络防火墙以管理出口流量。
- 修改配置函数使用的子网的路由表,并完全删除该子网的默认路由。
您在这条线路上能做多少将取决于您对风险和监管要求的态度,以及成本/粒度权衡 - 托管防火墙选项更灵活,但相比使用端点的成本更高。
関連するコンテンツ
- AWS公式更新しました 2年前
- AWS公式更新しました 2年前
- AWS公式更新しました 10ヶ月前