Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l'accès au système de fichiers pour les fonctions Lambda
Vous pouvez configurer une fonction pour monter un système de fichiers Amazon Elastic File System (AmazonEFS) dans un répertoire local. Avec AmazonEFS, votre code de fonction peut accéder aux ressources partagées et les modifier en toute sécurité et à un rythme élevé.
Sections
Rôle d'exécution et autorisations utilisateur
Si le système de fichiers n'a pas de stratégie configurée par l'utilisateur AWS Identity and Access Management (IAM), EFS utilise une stratégie par défaut qui accorde un accès complet à tout client qui peut se connecter au système de fichiers à l'aide d'une cible de montage du système de fichiers. Si le système de fichiers dispose d'une IAM politique configurée par l'utilisateur, le rôle d'exécution de votre fonction doit disposer des elasticfilesystem
autorisations appropriées.
Autorisations du rôle d’exécution
-
système de fichiers élastique : ClientMount
-
elasticfilesystem : ClientWrite (non requis pour les connexions en lecture seule)
Ces autorisations sont incluses dans la politique AmazonElasticFileSystemClientReadWriteAccessgérée. En outre, votre rôle d'exécution doit disposer des autorisations requises pour se connecter au système de fichiers VPC.
Lorsque vous configurez un système de fichiers, Lambda utilise vos autorisations pour vérifier les cibles de montage. Pour configurer une fonction pour vous connecter à un système de fichiers, votre utilisateur a besoin des autorisations suivantes :
Autorisations des utilisateurs
-
système de fichiers élastique : DescribeMountTargets
Configuration d'un système de fichiers et d'un point d'accès
Créez un système de fichiers dans Amazon EFS avec une cible de montage dans chaque zone de disponibilité à laquelle votre fonction se connecte. Pour les performances et une résilience, utilisez au moins deux zones de disponibilité. Par exemple, dans une configuration simple, vous pourriez avoir deux sous-réseaux privés dans des zones de disponibilité distinctes. VPC La fonction se connecte aux deux sous-réseaux et une cible de montage est disponible dans chacun. Assurez-vous que NFS le trafic (port 2049) est autorisé par les groupes de sécurité utilisés par la fonction et les cibles de montage.
Note
Lorsque vous créez un système de fichiers, vous choisissez un mode de performances qui ne peut pas être modifié ultérieurement. Le mode à usage général a une latence plus faible, et le mode Max I/O prend en charge un débit maximal plus élevé et. IOPS Pour vous aider à choisir, consultez Amazon EFS Performance dans le guide de l'utilisateur Amazon Elastic File System.
Un point d'accès relie chaque instance de la fonction à la cible de montage droite pour la zone de disponibilité à laquelle elle se connecte. Pour des performances optimales, créez un point d'accès avec un chemin non racine et limitez le nombre de fichiers que vous créez dans chaque répertoire. L'exemple suivant crée un répertoire nommé my-function
sur le système de fichiers et définit l'ID propriétaire sur 1001 avec les autorisations d'annuaire standard (755).
Exemple configuration du point d'accès
-
Nom –
files
-
ID de l'utilisateur –
1001
-
ID du groupe –
1001
-
Chemin –
/my-function
-
Permissions (Autorisations –
755
-
ID d'utilisateur du propriétaire –
1001
-
ID d'utilisateur du groupe –
1001
Lorsqu'une fonction utilise le point d'accès, elle reçoit l'ID utilisateur 1001 et dispose d'un accès complet au répertoire.
Pour plus d'informations, consultez les rubriques suivantes dans le Guide de l'utilisateur Amazon Elastic File System User.
Connexion à un système de fichiers (console)
Une fonction se connecte à un système de fichiers via le réseau local dans un fichierVPC. Les sous-réseaux auxquels votre fonction se connecte peuvent être les mêmes sous-réseaux qui contiennent des points de montage pour votre système de fichiers, ou des sous-réseaux de la même zone de disponibilité qui peuvent acheminer le NFS trafic (port 2049) vers le système de fichiers.
Note
Si votre fonction n'est pas déjà connectée à unVPC, consultezPermettre aux fonctions Lambda d'accéder aux ressources d'un Amazon VPC.
Pour configurer l'accès au système de fichiers
Ouvrez la page Functions
(Fonctions) de la console Lambda. -
Choisissez une fonction.
-
Sélectionnez Configuration, puis File systems (Systèmes de fichiers).
-
Sous Système de fichiers, choisissez Ajouter un système de fichiers.
-
Configurez les propriétés suivantes :
-
EFSsystème de fichiers — Point d'accès à un système de fichiers dans le même systèmeVPC.
-
Chemin de montage local – Emplacement où le système de fichiers est monté sur la fonction Lambda, commençant par
/mnt/
.
-
Tarification
Amazon EFS facture le stockage et le débit, avec des tarifs qui varient en fonction de la classe de stockage. Pour plus de détails, consultez EFSles tarifs Amazon
Lambda facture le transfert de données entre. VPCs Cela ne s'applique que si votre fonction VPC est appairée à une autre VPC avec un système de fichiers. Les tarifs sont les mêmes que pour le transfert de EC2 données Amazon entre VPCs une même région. Pour plus d’informations, consultez Tarification ambda