EC2 インスタンスでサービスを実行しており、Lambda 関数のみがアクセスできるようにする受信ルールを設定したいと考えています。セキュリティ グループを使用すると、特定の IP によるアクセスを制限できますが、Lambda 関数に特定の IP が割り当てられているとは思えません。必要なことを実現する方法はありますか?
ベストアンサー1
Lambda関数のVPCアクセスを有効にする場合は、このブログ投稿次に、VPC 内で使用する Lambda 関数のセキュリティ グループを作成します。この時点で必要なのは、EC2 インスタンスが使用しているセキュリティ グループに移動し、Lambda 関数が使用しているセキュリティ グループへのアクセスを許可することだけです。これが私が推奨する方法です。
VPCアクセスを使用していない場合は、EC2インスタンスはパブリックにアクセス可能である必要があり、Lambda関数からEC2インスタンスにアクセスするには基本的にインターネット経由になります。その場合、セキュリティグループでそれを制限する良い方法はありません。(困難ではありますが)次のリクエストのみに開放することは可能です。AWS内で発生するただし、それでも AWS の他のすべてのユーザーに公開されたままになります。Lambda から EC2 インスタンスにアクセスするためにインターネットを経由する必要がある場合は、Lambda が送信するリクエストごとに何らかのセキュリティ トークンを送信し、そのセキュリティ トークンを含まない EC2 サーバー上のリクエストを無視するのが最善です。