簡體 English 中英

當僅由 Lambda 功能使用時，我是否應該將 AWS Elasticsearch 域放入 VPC

[英]Should I put AWS Elasticsearch domain in VPC when it's consumed by Lambda functions only

原文 2020-07-13 16:54:34 6 1 amazon-web-services/ aws-lambda/ amazon-vpc/ aws-elasticsearch

我正在使用 AWS Elasticsearch 服務來運行一個公開可用的 ES 域，該域由部署在任何 VPC 之外的 Lambda 函數調用。 我已經配置了一個附加到 ES 域的資源策略，以限制僅訪問我的 Lambda 函數假定的 IAM 角色。 鑒於策略和對我的域的所有請求都需要簽名的事實，在我的場景中將 ES 域放置在 VPC 中是否有任何額外的安全優勢？

我知道在 VPC 中，我的 ES 域甚至無法從 Internet 訪問，從安全角度來看，這肯定是一個好處。 另一方面，這需要將我所有的 Lambda 函數放在同一個 VPC 中，這會帶來很多我希望避免的配置和性能挑戰。

我的理解如下：如果我們認為 DynamoDB、S3、SNS、SQS 或其他 AWS 無服務器服務是安全的，並且它們使用相同的 IAM 安全性 model，我也應該認為我的 ES 配置是安全的。 當然，您總是可以錯誤地配置域並使其對所有人公開可用，但對於 S3 存儲桶也是如此，它不會阻止人們將私有文件保存在那里。

我錯過了什么嗎？ 盡管存在與 Lambda 功能配置相關的所有挑戰，您是否在我的思考過程中看到任何安全漏洞，這些漏洞應該說服我將 ES 域放在 VPC 中？

1 個解決方案

通過在 VPC 中擁有 ElasticSearch 集群，您可以大大降低數據泄露的風險，而不僅僅是依賴域策略。

通過這樣做，您將需要考慮以下事項：

您需要將NAT 網關或NAT 實例添加到您的 VPC 私有子網，以允許 Lambda 的 Internet 連接。
如果您想在沒有 NAT 的情況下為您的 Lambda 連接到 AWS 服務，您需要為每項服務配置VPC 終端節點。

Elasticsearch 服務還支持通過簽名的 HTTP 請求進行身份驗證。

AWS 文檔中有一個關於Amazon Elasticsearch 服務中的安全性的部分，該部分應提供額外的輸入。

AWS Elasticsearch vpc 端點和私有 vpc 域

[英]AWS Elasticsearch vpc endpoint and private vpc domain

AWS Lambda-在VPC中調用和調用Lambda函數時不起作用

[英]AWS lambda - Not working when calling and called lambda functions inside VPC

允許 VPC 中的 Lambda 訪問同一 VPC 中的 Elasticsearch 域

[英]Allowing Lambda in a VPC to access an Elasticsearch domain in the same VPC

帶VPC的AWS Lambda函數僅在私有子網中有效

[英]AWS Lambda Function with VPC only works when in Private Subnet

AWS 為 Elasticsearch VPC 域提供代理

[英]AWS provide proxy for Elasticsearch VPC domain

什么時候應該在aws上設置vpc？

[英]When should vpc be set on aws?

將 AWS Lambda 函數放入 VPC，然后“IOException: Connection reset by peer”開始發生，但只是偶爾發生

[英]Put AWS Lambda function into a VPC and then “IOException: Connection reset by peer” started happening, but only occasionally

AWS：僅允許從 VPC 訪問 Lambda

[英]AWS: Allow access to Lambda only, from VPC

如何配置我的 PUBLIC AWS 自定義域以解析為我的 VPC 配置的 lambda？

[英]How do I configure my PUBLIC AWS custom domain to resolve to a lambda that is configured for my VPC?

通過 HTTPS 從 Lambda 連接到 VPC 內的 AWS Elasticsearch

[英]Connecting to AWS Elasticsearch within VPC from Lambda over HTTPS

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 AWS Elasticsearch vpc 端點和私有 vpc 域 AWS Lambda-在VPC中調用和調用Lambda函數時不起作用允許 VPC 中的 Lambda 訪問同一 VPC 中的 Elasticsearch 域帶VPC的AWS Lambda函數僅在私有子網中有效 AWS 為 Elasticsearch VPC 域提供代理什么時候應該在aws上設置vpc？將 AWS Lambda 函數放入 VPC，然后“IOException: Connection reset by peer”開始發生，但只是偶爾發生 AWS：僅允許從 VPC 訪問 Lambda 如何配置我的 PUBLIC AWS 自定義域以解析為我的 VPC 配置的 lambda？通過 HTTPS 從 Lambda 連接到 VPC 內的 AWS Elasticsearch

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM