У меня есть лямбда AWS, созданная для доступа к экземпляру RDS postgresql и кластеру elasticcache. Я считаю, что для доступа к экземпляру RDS и RDS, и Elasticache необходимо открыть входящие порты для доступа лямбды. Я также видел политики, которые позволяют лямбде получать доступ к elasticache и RDS. Эти политики применяются к роли, назначенной AWS lambda. Какова цель роли и группы безопасности в этом сценарии?
Использование групп безопасности и ролей
Ответы (1)
Группы безопасности больше связаны с элементами управления сетью. Вы можете смотреть на них как на виртуальный брандмауэр, контролирующий трафик.
Они определяют, какой входящий/исходящий трафик разрешать/запрещать на основе следующих критериев/фильтров.
- Протокол
- Порт
- исходный/целевой IP-адрес
роли IAM больше используются для определить, что удостоверение может и не может делать в AWS. По сути, это набор разрешений, которые предоставляют доступ к действиям и ресурсам в AWS.
Пример. Группа безопасности для ресурса X разрешает входящий трафик через порт 1111 по протоколу HTTP.
Сценарий 1: Lambda, у которой есть прикрепленная роль для доступа к ресурсу X, пытается связаться с ресурсом X через порт 2222 по протоколу HTTP, но не удается. Поскольку группа безопасности для ресурса X разрешает связь только через порт 1111.
Сценарий 2: вы не привязываете к Lambda никакой роли для доступа к ресурсу X. Теперь, если он попытается связаться с ресурсом X через порт 1111 по протоколу HTTP, произойдет сбой. Поскольку, несмотря на попытку доступа к ресурсу X по правильному порту и протоколу, ему не хватает прав для этого.