Memberikan fungsi Lambda akses ke sumber daya di VPC Amazon - AWS Lambda
Izin IAM yang diperlukanMelampirkan fungsi Lambda ke VPC Amazon di Akun AWSAkses internet saat dilampirkan ke VPCPraktik terbaik untuk menggunakan Lambda dengan Amazon VPCMemahami Antarmuka Jaringan Elastis Hyperplane (ENI)Menggunakan kunci syarat IAM untuk pengaturan VPCTutorial VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memberikan fungsi Lambda akses ke sumber daya di VPC Amazon

Dengan Amazon Virtual Private Cloud (Amazon VPC), Anda dapat membuat jaringan pribadi di sumber daya host Anda seperti Akun AWS instans Amazon Elastic Compute Cloud (Amazon EC2), instans Amazon Relational Database Service (Amazon RDS), dan instans Amazon. ElastiCache Anda dapat memberikan akses fungsi Lambda ke sumber daya yang dihosting di VPC Amazon dengan melampirkan fungsi Anda ke VPC melalui subnet pribadi yang berisi sumber daya. Ikuti petunjuk di bagian berikut untuk melampirkan fungsi Lambda ke VPC Amazon menggunakan konsol Lambda, (), atau. AWS Command Line Interface AWS CLI AWS SAM

catatan

Setiap fungsi Lambda berjalan di dalam VPC yang dimiliki dan dikelola oleh layanan Lambda. VPC ini dikelola secara otomatis oleh Lambda dan tidak terlihat oleh pelanggan. Mengonfigurasi fungsi Anda untuk mengakses AWS sumber daya lain di VPC Amazon tidak berpengaruh pada VPC yang dikelola Lambda yang dijalankan fungsi Anda di dalamnya.

Izin IAM yang diperlukan

Untuk melampirkan fungsi Lambda ke VPC Amazon di Anda, Akun AWS Lambda memerlukan izin untuk membuat dan mengelola antarmuka jaringan yang digunakannya untuk memberikan akses fungsi Anda ke sumber daya di VPC.

Antarmuka jaringan yang dibuat Lambda dikenal sebagai Hyperplane Elastic Network Interfaces, atau Hyperplane ENIs. Untuk mempelajari lebih lanjut tentang antarmuka jaringan ini, lihatMemahami Antarmuka Jaringan Elastis Hyperplane (ENI).

Anda dapat memberikan fungsi izin yang dibutuhkan dengan melampirkan kebijakan AWS terkelola AWSLambdaVPCAccessExecutionRoleke peran eksekusi fungsi Anda. Saat Anda membuat fungsi baru di konsol Lambda dan melampirkannya ke VPC, Lambda secara otomatis menambahkan kebijakan izin ini untuk Anda.

Jika Anda lebih suka membuat kebijakan izin IAM Anda sendiri, pastikan untuk menambahkan semua izin berikut:

  • ec2: Antarmuka CreateNetwork

  • ec2: DescribeNetwork Antarmuka — Tindakan ini hanya berfungsi jika diizinkan di semua sumber daya ()"Resource": "*".

  • EC2: DescribeSubnets

  • ec2: DeleteNetwork Antarmuka — Jika Anda tidak menentukan ID sumber daya untuk DeleteNetworkAntarmuka dalam peran eksekusi, fungsi Anda mungkin tidak dapat mengakses VPC. Entah menentukan ID sumber daya yang unik, atau sertakan semua ID sumber daya, misalnya,"Resource": "arn:aws:ec2:us-west-2:123456789012:*/*".

  • EC2: AssignPrivate IpAddresses

  • EC2: UnassignPrivate IpAddresses

Perhatikan bahwa peran fungsi Anda hanya memerlukan izin ini untuk membuat antarmuka jaringan, bukan untuk memanggil fungsi Anda. Anda masih dapat menjalankan fungsi dengan sukses saat dilampirkan ke VPC Amazon, meskipun Anda menghapus izin ini dari peran eksekusi fungsi Anda.

Untuk melampirkan fungsi Anda ke VPC, Lambda juga perlu memverifikasi sumber daya jaringan menggunakan peran pengguna IAM Anda. Pastikan peran pengguna Anda memiliki izin IAM berikut:

  • ec2: Grup DescribeSecurity

  • EC2: DescribeSubnets

  • EC2: DescribeVpcs

catatan

Izin Amazon EC2 yang Anda berikan ke peran eksekusi fungsi Anda digunakan oleh layanan Lambda untuk melampirkan fungsi Anda ke VPC. Namun, Anda juga secara implisit memberikan izin ini ke kode fungsi Anda. Ini berarti kode fungsi Anda dapat melakukan panggilan API Amazon EC2 ini. Untuk saran tentang mengikuti praktik terbaik keamanan, lihatPraktik terbaik keamanan.

Melampirkan fungsi Lambda ke VPC Amazon di Akun AWS

Lampirkan fungsi Anda ke VPC Amazon di Anda Akun AWS dengan menggunakan konsol Lambda, atau. AWS CLI AWS SAM Jika Anda menggunakan AWS CLI atau AWS SAM, atau melampirkan fungsi yang ada ke VPC menggunakan konsol Lambda, pastikan bahwa peran eksekusi fungsi Anda memiliki izin yang diperlukan yang tercantum di bagian sebelumnya.

Fungsi Lambda tidak dapat terhubung langsung ke VPC dengan tenancy instans khusus. Untuk terhubung ke sumber daya dalam VPC khusus, sambungkan ke VPC kedua dengan penyewaan default.

Lambda console
Untuk melampirkan fungsi ke VPC Amazon saat Anda membuatnya

  1. Buka halaman Fungsi konsol Lambda dan pilih Buat fungsi.

  2. Di bawah Informasi Dasar, untuk Nama fungsi, masukkan nama untuk fungsi Anda.

  3. Konfigurasikan pengaturan VPC untuk fungsi dengan melakukan hal berikut:

    1. Perluas Pengaturan lanjutan.

    2. Pilih Aktifkan VPC, lalu pilih VPC yang ingin Anda lampirkan fungsinya.

    3. (Opsional) Untuk mengizinkan lalu lintas IPv6 keluar, pilih Izinkan lalu lintas IPv6 untuk subnet dual-stack.

    4. Pilih subnet dan grup keamanan untuk membuat antarmuka jaringan. Jika Anda memilih Izinkan lalu lintas IPv6 untuk subnet dual-stack, semua subnet yang dipilih harus memiliki blok CIDR IPv4 dan blok CIDR IPv6.

      catatan

      Untuk mengakses sumber daya privat, sambungkan fungsi Anda ke subnet privat. Jika fungsi Anda membutuhkan akses internet, lihatAktifkan akses internet untuk fungsi Lambda yang terhubung dengan VPC. Menghubungkan fungsi ke subnet publik tidak memberikan akses internet atau alamat IP publik.

  4. Pilih Buat fungsi.

Untuk melampirkan fungsi yang ada ke VPC Amazon

  1. Buka halaman Fungsi konsol Lambda dan pilih fungsi Anda.

  2. Pilih tab Konfigurasi, lalu pilih VPC.

  3. Pilih Edit.

  4. Di bawah VPC, pilih VPC Amazon yang ingin Anda lampirkan fungsinya.

  5. (Opsional) Untuk mengizinkan lalu lintas IPv6 keluar, pilih Izinkan lalu lintas IPv6 untuk subnet dual-stack.

  6. Pilih subnet dan grup keamanan untuk membuat antarmuka jaringan. Jika Anda memilih Izinkan lalu lintas IPv6 untuk subnet dual-stack, semua subnet yang dipilih harus memiliki blok CIDR IPv4 dan blok CIDR IPv6.

    catatan

    Untuk mengakses sumber daya privat, sambungkan fungsi Anda ke subnet privat. Jika fungsi Anda membutuhkan akses internet, lihatAktifkan akses internet untuk fungsi Lambda yang terhubung dengan VPC. Menghubungkan fungsi ke subnet publik tidak memberikan akses internet atau alamat IP publik.

  7. Pilih Simpan.

AWS CLI
Untuk melampirkan fungsi ke VPC Amazon saat Anda membuatnya

  • Untuk membuat fungsi Lambda dan melampirkannya ke VPC, jalankan perintah CLI berikut. create-function

    aws lambda create-function --function-name my-function \
--runtime nodejs20.x --handler index.js --zip-file fileb://function.zip \
--role arn:aws:iam::123456789012:role/lambda-role \
--vpc-config Ipv6AllowedForDualStack=true,SubnetIds=subnet-071f712345678e7c8,subnet-07fd123456788a036,SecurityGroupIds=sg-085912345678492fb

    Tentukan subnet dan grup keamanan Anda sendiri dan atur Ipv6AllowedForDualStack ke true atau false sesuai dengan kasus penggunaan Anda.

Untuk melampirkan fungsi yang ada ke VPC Amazon

  • Untuk melampirkan fungsi yang ada ke VPC, jalankan perintah CLI berikut. update-function-configuration

    aws lambda update-function-configuration --function-name my-function \
--vpc-config Ipv6AllowedForDualStack=true, SubnetIds=subnet-071f712345678e7c8,subnet-07fd123456788a036,SecurityGroupIds=sg-085912345678492fb
Untuk melepaskan fungsi Anda dari VPC

  • Untuk melepaskan fungsi Anda dari VPC, jalankan perintah update-function-configuration CLI berikut dengan daftar kosong subnet VPC dan grup keamanan.

    aws lambda update-function-configuration --function-name my-function \
--vpc-config SubnetIds=[],SecurityGroupIds=[]
AWS SAM
Untuk melampirkan fungsi Anda ke VPC

  • Untuk melampirkan fungsi Lambda ke VPC Amazon, tambahkan VpcConfig properti ke definisi fungsi Anda seperti yang ditunjukkan pada contoh template berikut. Untuk informasi selengkapnya tentang properti ini, lihat AWS: :Lambda: :Function VpcConfig di Panduan AWS CloudFormation Pengguna ( AWS SAM VpcConfigproperti diteruskan langsung ke VpcConfig properti sumber daya). AWS CloudFormation AWS::Lambda::Function

    AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31

Resources:
  MyFunction:
    Type: AWS::Serverless::Function
    Properties:
      CodeUri: ./lambda_function/
      Handler: lambda_function.handler
      Runtime: python3.12
      VpcConfig:
        SecurityGroupIds:
          - !Ref MySecurityGroup
        SubnetIds:
          - !Ref MySubnet1
          - !Ref MySubnet2
      Policies:
        - AWSLambdaVPCAccessExecutionRole

  MySecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: Security group for Lambda function
      VpcId: !Ref MyVPC

  MySubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref MyVPC
      CidrBlock: 10.0.1.0/24

  MySubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref MyVPC
      CidrBlock: 10.0.2.0/24

  MyVPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16

    Untuk informasi selengkapnya tentang mengonfigurasi VPC Anda, AWS lihat: :EC2: :VPC AWS SAM di Panduan Pengguna.AWS CloudFormation

Akses internet saat dilampirkan ke VPC

Secara default, fungsi Lambda memiliki akses ke internet publik. Ketika Anda melampirkan fungsi Anda ke VPC, itu hanya dapat mengakses sumber daya yang tersedia dalam VPC itu. Untuk memberikan akses fungsi Anda ke internet, Anda juga perlu mengkonfigurasi VPC untuk memiliki akses internet. Untuk mempelajari selengkapnya, lihat Aktifkan akses internet untuk fungsi Lambda yang terhubung dengan VPC.

Praktik terbaik untuk menggunakan Lambda dengan Amazon VPC

Untuk memastikan bahwa konfigurasi VPC Lambda Anda memenuhi pedoman praktik terbaik, ikuti saran di bagian berikut.

Praktik terbaik keamanan

Untuk melampirkan fungsi Lambda Anda ke VPC, Anda harus memberikan peran eksekusi fungsi Anda sejumlah izin Amazon EC2. Izin ini diperlukan untuk membuat antarmuka jaringan yang digunakan fungsi Anda untuk mengakses sumber daya di VPC. Namun, izin ini juga secara implisit diberikan ke kode fungsi Anda. Ini berarti bahwa kode fungsi Anda memiliki izin untuk melakukan panggilan API Amazon EC2 ini.

Untuk mengikuti prinsip akses hak istimewa paling sedikit, tambahkan kebijakan penolakan seperti contoh berikut ke peran eksekusi fungsi Anda. Kebijakan ini mencegah fungsi Anda melakukan panggilan ke Amazon EC2 API yang digunakan layanan Lambda untuk melampirkan fungsi Anda ke VPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [ 
                 "ec2:CreateNetworkInterface",
                 "ec2:DeleteNetworkInterface",
                 "ec2:DescribeNetworkInterfaces",
                 "ec2:DetachNetworkInterface",
                 "ec2:AssignPrivateIpAddresses",
                 "ec2:UnassignPrivateIpAddresses",
            ],
            "Resource": [ "*" ],
            "Condition": {
                "ArnEquals": {
                    "lambda:SourceFunctionArn": [
                        "arn:aws:lambda:us-west-2:123456789012:function:my_function"
                    ]
                }
            }
        }
    ]
}

AWS menyediakan grup keamanan dan Daftar Kontrol Akses jaringan (ACL) untuk meningkatkan keamanan di VPC Anda. Grup keamanan mengontrol lalu lintas masuk dan keluar untuk sumber daya Anda, dan ACL jaringan mengontrol lalu lintas masuk dan keluar untuk subnet Anda. Grup keamanan menyediakan kontrol akses yang cukup untuk sebagian besar subnet. Anda dapat menggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untuk panduan umum tentang praktik terbaik keamanan saat menggunakan VPC Amazon, lihat Praktik terbaik keamanan untuk VPC Anda di Panduan Pengguna Amazon Virtual Private Cloud.

Praktik terbaik kinerja

Ketika Anda melampirkan fungsi Anda ke VPC, Lambda memeriksa untuk melihat apakah ada sumber daya jaringan yang tersedia (Hyperplane ENI) yang dapat digunakan untuk terhubung. Hyperplane ENI dikaitkan dengan kombinasi tertentu dari kelompok keamanan dan subnet VPC. Jika Anda telah melampirkan satu fungsi ke VPC, menentukan subnet dan grup keamanan yang sama saat Anda melampirkan fungsi lain berarti Lambda dapat berbagi sumber daya jaringan dan menghindari kebutuhan untuk membuat ENI Hyperplane baru. Untuk informasi selengkapnya tentang ENI Hyperplane dan siklus hidupnya, lihat. Memahami Antarmuka Jaringan Elastis Hyperplane (ENI)

Memahami Antarmuka Jaringan Elastis Hyperplane (ENI)

Hyperplane ENI adalah sumber daya terkelola yang bertindak sebagai antarmuka jaringan antara fungsi Lambda Anda dan sumber daya yang Anda inginkan untuk terhubung ke fungsi Anda. Layanan Lambda membuat dan mengelola ENI ini secara otomatis saat Anda melampirkan fungsi Anda ke VPC.

Hyperplane ENIS tidak langsung terlihat oleh Anda, dan Anda tidak perlu mengonfigurasi atau mengelolanya. Namun, mengetahui cara kerjanya dapat membantu Anda memahami perilaku fungsi Anda saat Anda melampirkannya ke VPC.

Pertama kali Anda melampirkan fungsi ke VPC menggunakan subnet tertentu dan kombinasi grup keamanan, Lambda membuat Hyperplane ENI. Fungsi lain di akun Anda yang menggunakan kombinasi subnet dan grup keamanan yang sama juga dapat menggunakan ENI ini. Jika memungkinkan, Lambda menggunakan kembali ENI yang ada untuk mengoptimalkan pemanfaatan sumber daya dan meminimalkan pembuatan ENI baru. Setiap Hyperplane ENI mendukung hingga 65.000 koneksi/port. Jika jumlah koneksi melebihi batas ini, Lambda menskalakan jumlah ENI secara otomatis berdasarkan lalu lintas jaringan dan persyaratan konkurensi.

Untuk fungsi baru, saat Lambda membuat ENI Hyperplane, fungsi Anda tetap dalam status Pending dan Anda tidak dapat memanggilnya. Fungsi Anda beralih ke status Aktif hanya ketika Hyperplane ENI siap, yang dapat memakan waktu beberapa menit. Untuk fungsi yang ada, Anda tidak dapat melakukan operasi tambahan yang menargetkan fungsi, seperti membuat versi atau memperbarui kode fungsi, tetapi Anda dapat terus memanggil versi fungsi sebelumnya.

catatan

Jika fungsi Lambda tetap menganggur selama 30 hari, Lambda merebut kembali ENI Hyperplane yang tidak digunakan dan menyetel status fungsi ke idle. Upaya pemanggilan berikutnya akan gagal, dan fungsi memasuki kembali status Pending sampai Lambda menyelesaikan pembuatan atau alokasi ENI Hyperplane. Untuk informasi selengkapnya tentang status fungsi Lambda, lihat. Status fungsi Lambda

Untuk informasi lebih lanjut tentang siklus hidup Hyperplane ENI, lihat. Lambda Hyperplane ENis

Menggunakan kunci syarat IAM untuk pengaturan VPC

Anda dapat menggunakan kunci syarat khusus Lambda untuk pengaturan VPC guna memberikan kontrol izin tambahan untuk fungsi Lambda Anda. Misalnya, Anda dapat meminta semua fungsi dalam organisasi Anda terhubung ke VPC. Anda juga dapat menentukan subnet dan grup keamanan yang dapat dan tidak dapat digunakan oleh pengguna fungsi.

Lambda mendukung kunci syarat berikut dalam kebijakan IAM:

  • lambda: VpcIds — Izinkan atau tolak satu atau lebih VPC.

  • lambda: SubnetIds — Izinkan atau tolak satu atau lebih subnet.

  • lambda: SecurityGroup Ids — Izinkan atau tolak satu atau lebih grup keamanan.

Operasi CreateFunctiondan UpdateFunctionKonfigurasi API Lambda mendukung kunci kondisi ini. Untuk informasi selengkapnya tentang penggunaan kunci syarat dalam kebijakan IAM, lihat elemen kebijakan IAM JSON: Syarat di Panduan Pengguna IAM.

Tip

Jika fungsi Anda sudah mencakup konfigurasi VPC dari permintaan API sebelumnya, Anda dapat mengirim permintaan UpdateFunctionConfiguration tanpa konfigurasi VPC.

Contoh kebijakan dengan kunci syarat untuk pengaturan VPC

Contoh-contoh berikut ini menunjukkan cara menggunakan kunci syarat untuk pengaturan VPC. Setelah Anda membuat pernyataan kebijakan dengan batasan yang diinginkan, tambahkan pernyataan kebijakan untuk pengguna atau peran target.

Pastikan pengguna hanya men-deploy fungsi yang terhubung dengan VPC

Untuk memastikan semua pengguna hanya men-deploy fungsi yang terhubung dengan VPC, Anda dapat menolak operasi pembuatan dan pembaruan fungsi yang tidak mencakup ID VPC yang valid.

Perhatikan bahwa ID VPC bukan parameter input ke CreateFunction atau permintaan UpdateFunctionConfiguration. Lambda mengambil nilai ID VPC berdasarkan parameter subnet dan grup keamanan.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceVPCFunction",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "Null": {
           "lambda:VpcIds": "true"
        }
      }
    }
  ]
}

Menolak akses pengguna ke VPC, subnet, atau grup keamanan tertentu

Untuk menolak akses pengguna ke VPC tertentu, gunakan StringEquals untuk memeriksa nilai syarat lambda:VpcIds. Contoh berikut menolak akses pengguna ke vpc-1 dan vpc-2.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceOutOfVPC",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
            "lambda:VpcIds": ["vpc-1", "vpc-2"]
        }
      }
    }

Untuk menolak akses pengguna ke subnet tertentu, gunakan StringEquals untuk memeriksa nilai syarat lambda:SubnetIds. Contoh berikut menolak akses pengguna ke subnet-1 dan subnet-2.

{
      "Sid": "EnforceOutOfSubnet",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
            "lambda:SubnetIds": ["subnet-1", "subnet-2"]
        }
      }
    }

Untuk menolak akses pengguna ke grup keamanan tertentu, gunakan StringEquals untuk memeriksa nilai syarat lambda:SecurityGroupIds. Contoh berikut menolak akses pengguna ke sg-1 dan sg-2.

{
      "Sid": "EnforceOutOfSecurityGroups",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
            "lambda:SecurityGroupIds": ["sg-1", "sg-2"]
        }
      }
    }
  ]
}

Mengizinkan pengguna untuk membuat dan memperbarui fungsi dengan pengaturan VPC tertentu

Untuk mengizinkan pengguna mengakses VPC tertentu, gunakan StringEquals untuk memeriksa nilai syarat lambda:VpcIds. Contoh berikut mengizinkan pengguna mengakses vpc-1 dan vpc-2.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceStayInSpecificVpc",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
            "lambda:VpcIds": ["vpc-1", "vpc-2"]
        }
      }
    }

Untuk mengizinkan pengguna mengakses subnet tertentu, gunakan StringEquals untuk memeriksa nilai syarat lambda:SubnetIds. Contoh berikut mengizinkan pengguna mengakses subnet-1 dan subnet-2.

{
      "Sid": "EnforceStayInSpecificSubnets",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringEquals": {
            "lambda:SubnetIds": ["subnet-1", "subnet-2"]
        }
      }
    }

Untuk mengizinkan pengguna mengakses grup keamanan tertentu, gunakan StringEquals untuk memeriksa nilai syarat lambda:SecurityGroupIds. Contoh berikut mengizinkan pengguna mengakses sg-1 dan sg-2.

{
      "Sid": "EnforceStayInSpecificSecurityGroup",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringEquals": {
            "lambda:SecurityGroupIds": ["sg-1", "sg-2"]
        }
      }
    }
  ]
}

Tutorial VPC

Dalam tutorial berikut, Anda menghubungkan fungsi Lambda ke sumber daya di VPC Anda.