我们使用控制塔服务创建和管理AWS帐户。
要求是限制lambda的互联网访问,即使它没有连接到任何VPC。
默认情况下,如果lambda函数未连接到任何VPC,它可以连接到互联网。
我们如何强制限制使用lambda函数的用户访问互联网?
Lambda总是在专有网络中,只是当你没有指定专有网络时,它被分配给默认的配置了互联网接入的专有网络。
创建一个新的专有网络,默认情况下它将无法访问互联网。并将您的功能分配给它。
我们通过创建一个服务控制策略来满足这一要求,该策略包含以下语句并附加到OU。
它强制用户在创建/更新lambda函数时选择VPC、子网和安全组。这样,您就可以确保lambda函数始终在您的VPC下。
参考编号:https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-条件
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceVPCFunction",
"Action": [
"lambda:CreateFunction",
"lambda:UpdateFunctionConfiguration"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"Null": {
"lambda:VpcIds": "true"
}
}
}
]
}
请参阅上面的AWS文档,以查找在不同级别(如子网、安全组和VPC(启用限制的策略声明。