Menghubungkan VPC titik akhir antarmuka masuk untuk Lambda - AWS Lambda
Pertimbangan untuk titik akhir antarmuka LambdaMembuat titik akhir antarmuka untuk LambdaMembuat kebijakan titik akhir antarmuka untuk Lambda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan VPC titik akhir antarmuka masuk untuk Lambda

Jika Anda menggunakan Amazon Virtual Private Cloud (AmazonVPC) untuk meng-host AWS sumber daya Anda, Anda dapat membuat koneksi antara Anda VPC dan Lambda. Anda dapat menggunakan koneksi ini untuk mengaktifkan fungsi Lambda Anda tanpa menyeberangi internet publik.

Untuk membuat koneksi pribadi antara Anda VPC dan Lambda, buat titik akhir antarmuka VPC. Endpoint antarmuka didukung oleh AWS PrivateLink, yang memungkinkan Anda mengakses Lambda secara pribadi APIs tanpa gateway internet, NAT perangkat, koneksi, atau VPN koneksi. AWS Direct Connect Instans di Anda VPC tidak memerlukan alamat IP publik untuk berkomunikasi dengan LambdaAPIs. Lalu lintas antara Anda VPC dan Lambda tidak meninggalkan jaringan. AWS

Setiap titik akhir antarmuka diwakili oleh satu atau lebih antarmuka jaringan elastis dalam subnet Anda. Antarmuka jaringan menyediakan alamat IP privat yang berfungsi sebagai titik masuk untuk lalu lintas ke Lambda.

Pertimbangan untuk titik akhir antarmuka Lambda

Sebelum menyiapkan titik akhir antarmuka untuk Lambda, pastikan untuk meninjau properti dan batasan titik akhir Antarmuka di Panduan Pengguna Amazon VPC.

Anda dapat menghubungi salah satu API operasi Lambda dari Anda. VPC Misalnya, Anda dapat menjalankan fungsi Lambda dengan memanggil dari Invoke API dalam. VPC Untuk daftar lengkap LambdaAPIs, lihat Tindakan dalam referensi Lambda. API

use1-az3adalah Wilayah kapasitas terbatas untuk fungsi LambdaVPC. Anda tidak boleh menggunakan subnet di zona ketersediaan ini dengan fungsi Lambda Anda karena ini dapat mengakibatkan pengurangan redundansi zona jika terjadi pemadaman.

Tetap aktif untuk koneksi yang persisten

Lambda menghapus koneksi idle dari waktu ke waktu, jadi Anda harus menggunakan arahan yang tetap aktif untuk mempertahankan koneksi yang persisten. Mencoba menggunakan kembali koneksi idle saat mengaktifkan fungsi akan menyebabkan kesalahan koneksi. Untuk mempertahankan koneksi yang persisten, gunakan arahan tetap aktif yang berkaitan dengan runtime Anda. Sebagai contoh, lihat Menggunakan Kembali Koneksi Tetap Aktif di Node.js dalam AWS SDK for JavaScript Panduan Developer.

Pertimbangan Tagihan

Tidak ada biaya tambahan untuk mengakses fungsi Lambda melalui titik akhir antarmuka. Untuk informasi selengkapnya tentang harga Lambda, lihat AWS Lambda Harga.

Harga standar untuk AWS PrivateLink berlaku untuk titik akhir antarmuka untuk Lambda. AWS Akun Anda ditagih untuk setiap jam, titik akhir antarmuka disediakan di setiap Availability Zone dan untuk data yang diproses melalui titik akhir antarmuka. Untuk informasi selengkapnya tentang harga titik akhir antarmuka, lihat AWS PrivateLink harga.

VPCPertimbangan Peering

Anda dapat menghubungkan yang lain VPCs ke titik akhir VPC dengan antarmuka menggunakan VPCpeering. VPCPeering adalah koneksi jaringan antara duaVPCs. Anda dapat membuat koneksi VPC peering antara dua Anda sendiriVPCs, atau dengan VPC AWS akun lain. VPCsBisa juga di dua AWS wilayah yang berbeda.

Lalu lintas antara peered VPCs tetap di AWS jaringan dan tidak melintasi internet publik. Setelah VPCs di-peer, sumber daya seperti instans Amazon Elastic Compute Cloud (AmazonEC2), instans Amazon Relational Database Service (RDSAmazon), VPC atau fungsi Lambda yang diaktifkan VPCs di keduanya dapat mengakses Lambda melalui titik akhir antarmuka API yang dibuat di salah satu. VPCs

Membuat titik akhir antarmuka untuk Lambda

Anda dapat membuat titik akhir antarmuka untuk Lambda menggunakan konsol VPC Amazon atau () AWS Command Line Interface .AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka di Panduan VPC Pengguna Amazon.

Untuk membuat titik akhir antarmuka untuk Lambda (konsol)

  1. Buka halaman Endpoints dari VPC konsol Amazon.

  2. Pilih Buat Titik Akhir.

  3. Untuk Kategori layanan, verifikasi bahwa AWS layanan dipilih.

  4. Untuk Nama Layanan, pilih com.amazonaws.region.lambda. Verifikasi bahwa Jenis adalah Antarmuka.

  5. Pilih a VPC dan subnet.

  6. Untuk mengaktifkan privat DNS untuk titik akhir antarmuka, pilih kotak centang Aktifkan DNS Nama. Kami menyarankan Anda mengaktifkan DNS nama pribadi untuk VPC Layanan AWS titik akhir Anda. Ini memastikan bahwa permintaan yang menggunakan titik akhir layanan publik, seperti permintaan yang dibuat melalui AWS SDK, diselesaikan ke titik VPC akhir Anda.

  7. Untuk Grup keamanan, pilih satu grup keamanan atau lebih.

  8. Pilih Buat titik akhir.

Untuk menggunakan DNS opsi pribadi, Anda harus mengatur enableDnsHostnames dan enableDnsSupportattributes dari AndaVPC. Untuk informasi selengkapnya, lihat Melihat dan memperbarui DNS dukungan untuk Anda VPC di Panduan VPC Pengguna Amazon. Jika Anda mengaktifkan private DNS untuk titik akhir antarmuka, Anda dapat membuat API permintaan ke Lambda menggunakan nama DNS defaultnya untuk Wilayah, misalnya,. lambda.us-east-1.amazonaws.com Untuk titik akhir layanan lainnya, lihat Titik akhir layanan dan kuota di. Referensi Umum AWS

Untuk informasi selengkapnya, lihat Mengakses layanan melalui titik akhir antarmuka di VPCPanduan Pengguna Amazon.

Untuk informasi tentang membuat dan mengonfigurasi titik akhir menggunakan AWS CloudFormation, lihat VPCEndpoint sumber daya AWS:EC2:: di AWS CloudFormation Panduan Pengguna.

Untuk membuat titik akhir antarmuka untuk Lambda (AWS CLI)

Gunakan create-vpc-endpointperintah dan tentukan VPC ID, tipe VPC titik akhir (antarmuka), nama layanan, subnet yang akan menggunakan titik akhir, dan grup keamanan untuk dikaitkan dengan antarmuka jaringan titik akhir. Sebagai contoh:

aws ec2 create-vpc-endpoint 
  --vpc-id vpc-ec43eb89
  --vpc-endpoint-type Interface
  --service-name com.amazonaws.us-east-1.lambda
  --subnet-id subnet-abababab
  --security-group-id sg-1a2b3c4d

Membuat kebijakan titik akhir antarmuka untuk Lambda

Untuk mengontrol siapa yang dapat menggunakan titik akhir antarmuka Anda dan fungsi Lambda mana yang dapat diakses pengguna, Anda dapat melampirkan kebijakan titik akhir ke titik akhir Anda. Kebijakan menentukan informasi berikut ini:

  • Prinsip yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan oleh prinsip.

  • Sumber daya yang dapat digunakan untuk melakukan tindakan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan VPC titik akhir di Panduan VPC Pengguna Amazon.

Kebijakan titik akhir antarmuka untuk tindakan Lambda

Berikut adalah contoh kebijakan titik akhir untuk Lambda. Jika dilampirkan ke titik akhir, kebijakan ini memungkinkan MyUser pengguna untuk mengaktifkan fungsi my-function.

catatan

Anda perlu memasukkan fungsi yang memenuhi syarat dan tidak memenuhi syarat ARN dalam sumber daya.

{
   "Statement":[
      {
         "Principal":
         { 
             "AWS": "arn:aws:iam::111122223333:user/MyUser" 
         },
         "Effect":"Allow",
         "Action":[
            "lambda:InvokeFunction"
         ],
         "Resource": [
               "arn:aws:lambda:us-east-2:123456789012:function:my-function",
               "arn:aws:lambda:us-east-2:123456789012:function:my-function:*"
            ]
      }
   ]
}