AWS无服务器服务之间的流量是否总是保持在AWS网络内部？

【以下的回答经过翻译处理】 流量永远不会离开AWS网络，但会经过AWS网络的互联网部分，而不是AWS网络的内部部分。

如果您在VPC内运行Lambda函数，并为函数使用的所有服务提供VPC端点，则流量不会通过NAT网关离开VPC，完全停留在AWS的“内部”侧。

如果您的所有函数调用的AWS API都具有VPC端点（或者您正在使用AWS PrivateLink调用第三方API），则可以阻止任何互联网访问。

对于此示例，SNS和KMS都具有VPC端点。

要积极阻止互联网流量，可以以多种方式进行此操作：

• 安全组可让您将所有端点添加到安全组中，仅允许函数与该安全组通信，而不是默认的0.0.0.0/0。
• 在VPC上配置AWS网络防火墙以管理出口流量。
• 修改配置函数使用的子网的路由表，并完全删除该子网的默认路由。

您在这条线路上能做多少将取决于您对风险和监管要求的态度，以及成本/粒度权衡 - 托管防火墙选项更灵活，但相比使用端点的成本更高。