Configuración del acceso al sistema de archivos para las funciones de Lambda - AWS Lambda
Permisos de usuario y rol de ejecuciónConfiguración de un sistema de archivos y un punto de accesoConexión a un sistema de archivos (consola)

Configuración del acceso al sistema de archivos para las funciones de Lambda

Puede configurar una función para montar un sistema de archivos Amazon Elastic File System (Amazon EFS) a un directorio local. Con Amazon EFS, el código de función puede acceder y modificar los recursos compartidos de forma segura y en alta concurrencia.

Permisos de usuario y rol de ejecución

Si el sistema de archivos no tiene una política de AWS Identity and Access Management (IAM) configurada por el usuario, EFS utiliza una política predeterminada que otorga acceso completo a cualquier cliente que pueda conectarse al sistema de archivos mediante un destino de montaje del sistema de archivos. Si el sistema de archivos tiene una política de IAM configurada por el usuario, el rol de ejecución de la función debe tener los permisos de elasticfilesystem correctos.

Permisos de rol de ejecución

  • elasticfilesystem:ClientMount

  • elasticfilesystem:ClientWrite (no se necesita para conexiones de solo lectura)

Estos permisos se incluyen en la política administrada AmazonElasticFileSystemClientReadWriteAccess. Además, el rol de ejecución debe tener los permisos necesarios para conectarse a la VPC del sistema de archivos.

Cuando configura un sistema de archivos, Lambda utiliza sus permisos para verificar los destinos de montaje. Para configurar una función para conectarse a un sistema de archivos, el usuario necesita los siguientes permisos:

Permisos de usuario

  • elasticfilesystem:DescribeMountTargets

Configuración de un sistema de archivos y un punto de acceso

Cree un sistema de archivos en Amazon EFS con un destino de montaje en cada zona de disponibilidad a la que se conecte su función. Para obtener rendimiento y resistencia, utilice al menos dos zonas de disponibilidad. Por ejemplo, en una configuración simple, podría tener una VPC con dos subredes privadas en zonas de disponibilidad separadas. La función se conecta a ambas subredes y un destino de montaje está disponible en cada una. Asegúrese de que los grupos de seguridad utilizados por la función y los destinos de montaje permiten el tráfico NFS (puerto 2049).

nota

Cuando crea un sistema de archivos, elige un modo de rendimiento que no se puede cambiar más adelante. El modo Propósito general tiene menor latencia, y el modo E/S Max admite un rendimiento e IOPS máximos más altos. Para obtener ayuda sobre cómo elegir, consulte Rendimiento de Amazon EFS en la Guía del usuario de Amazon Elastic File System.

Un punto de acceso conecta cada instancia de la función con el destino de montaje correcto para la zona de disponibilidad a la que se conecta. Para obtener el mejor rendimiento, cree un punto de acceso con una ruta que no sea raíz y limite el número de archivos que crea en cada directorio. En el siguiente ejemplo se crea un directorio denominado my-function en el sistema de archivos y se establece el identificador de propietario en 1001 con permisos de directorio estándar (755).

ejemplo configuración de punto de acceso

  • Nombre: files

  • ID de usuario: 1001

  • ID del grupo : 1001

  • Ruta/my-function

  • Permisos: 755

  • ID de usuario del propietario1001

  • ID de usuario de grupo1001

Cuando una función utiliza el punto de acceso, se le da el ID de usuario 1001 y tiene acceso completo al directorio.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon Elastic File System:

Conexión a un sistema de archivos (consola)

Una función se conecta a un sistema de archivos a través de la red local en una VPC. Las subredes a las que se conecta la función pueden ser las mismas subredes que contienen puntos de montaje para el sistema de archivos, o subredes en la misma zona de disponibilidad que pueden enrutar el tráfico NFS (puerto 2049) al sistema de archivos.

nota

Si la función aún no está conectada a una VPC, consulte Otorgamiento a las funciones de Lambda de acceso a los recursos de una Amazon VPC.

Para configurar el acceso al sistema de archivos

  1. Abra la página de Funciones en la consola de Lambda.

  2. Elija una función.

  3. Elija Configuración y, a continuación, elija Sistemas de archivos.

  4. En Sistema de archivos, elija Agregar sistema de archivos.

  5. Configure las siguientes propiedades:

    • Sistema de archivos EFS: el punto de acceso para un sistema de archivos de la misma VPC.

    • Ruta de montaje local: la ubicación en la que se monta el sistema de archivos en la función de Lambda, empezando por /mnt/.

Precios

Amazon EFS tiene cargos por almacenamiento y rendimiento, con tarifas que varían según la clase de almacenamiento. Para obtener más información, consulte Precios de Amazon EFS.

Cargos de Lambda por transferencia de datos entre VPC. Esto solo se aplica si la VPC de su función está pegada a otra VPC con un sistema de archivos. Las tasas son las mismas que para la transferencia de datos de Amazon EC2 entre VPC de la misma región. Para obtener más información, consulte Precios de Lambda.