Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Memberikan fungsi Lambda akses ke sumber daya di VPC Amazon

PDF
RSS
Mode fokus
Memberikan fungsi Lambda akses ke sumber daya di VPC Amazon - AWS Lambda
Izin IAM yang diperlukanMelampirkan fungsi Lambda ke VPC Amazon di Akun AWSAkses internet saat dilampirkan ke VPCIPv6 dukunganPraktik terbaik untuk menggunakan Lambda dengan Amazon VPCsMemahami Antarmuka Jaringan Elastis Hyperplane () ENIsMenggunakan kunci syarat IAM untuk pengaturan VPCTutorial VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dengan Amazon Virtual Private Cloud (Amazon VPC), Anda dapat membuat jaringan pribadi di sumber daya host Anda Akun AWS seperti instans Amazon Elastic Compute Cloud (Amazon EC2), instans Amazon Relational Database Service (Amazon RDS), dan instans Amazon. ElastiCache Anda dapat memberikan akses fungsi Lambda ke sumber daya yang dihosting di VPC Amazon dengan melampirkan fungsi Anda ke VPC melalui subnet pribadi yang berisi sumber daya. Ikuti petunjuk di bagian berikut untuk melampirkan fungsi Lambda ke VPC Amazon menggunakan konsol Lambda, (), atau. AWS Command Line Interface AWS CLI AWS SAM

catatan

Setiap fungsi Lambda berjalan di dalam VPC yang dimiliki dan dikelola oleh layanan Lambda. Ini VPCs dikelola secara otomatis oleh Lambda dan tidak terlihat oleh pelanggan. Mengonfigurasi fungsi Anda untuk mengakses AWS sumber daya lain di VPC Amazon tidak berpengaruh pada VPC yang dikelola Lambda yang dijalankan fungsi Anda di dalamnya.

Izin IAM yang diperlukan

Untuk melampirkan fungsi Lambda ke VPC Amazon di Anda, Akun AWS Lambda memerlukan izin untuk membuat dan mengelola antarmuka jaringan yang digunakannya untuk memberikan akses fungsi Anda ke sumber daya di VPC.

Antarmuka jaringan yang dibuat Lambda dikenal sebagai Hyperplane Elastic Network Interfaces, atau Hyperplane. ENIs Untuk mempelajari lebih lanjut tentang antarmuka jaringan ini, lihatMemahami Antarmuka Jaringan Elastis Hyperplane () ENIs.

Anda dapat memberikan fungsi izin yang dibutuhkan dengan melampirkan kebijakan AWS terkelola AWSLambdaVPCAccessExecutionRoleke peran eksekusi fungsi Anda. Saat Anda membuat fungsi baru di konsol Lambda dan melampirkannya ke VPC, Lambda secara otomatis menambahkan kebijakan izin ini untuk Anda.

Jika Anda lebih suka membuat kebijakan izin IAM Anda sendiri, pastikan untuk menambahkan semua izin berikut:

  • EC2: CreateNetworkInterface

  • ec2: DescribeNetworkInterfaces — Tindakan ini hanya berfungsi jika diizinkan di semua sumber daya ("Resource": "*").

  • EC2: DescribeSubnets

  • ec2: DeleteNetworkInterface — Jika Anda tidak menentukan ID sumber daya untuk DeleteNetworkInterfacedalam peran eksekusi, fungsi Anda mungkin tidak dapat mengakses VPC. Entah menentukan ID sumber daya yang unik, atau sertakan semua sumber daya IDs, misalnya,"Resource": "arn:aws:ec2:us-west-2:123456789012:*/*".

  • EC2: AssignPrivateIpAddresses

  • EC2: UnassignPrivateIpAddresses

Perhatikan bahwa peran fungsi Anda hanya memerlukan izin ini untuk membuat antarmuka jaringan, bukan untuk memanggil fungsi Anda. Anda masih dapat menjalankan fungsi dengan sukses saat dilampirkan ke VPC Amazon, meskipun Anda menghapus izin ini dari peran eksekusi fungsi Anda.

Untuk melampirkan fungsi Anda ke VPC, Lambda juga perlu memverifikasi sumber daya jaringan menggunakan peran pengguna IAM Anda. Pastikan peran pengguna Anda memiliki izin IAM berikut:

  • EC2: DescribeSecurityGroups

  • EC2: DescribeSubnets

  • EC2: DescribeVpcs

  • EC2: getSecurityGroups ForVpc

catatan

EC2 Izin Amazon yang Anda berikan untuk peran eksekusi fungsi Anda digunakan oleh layanan Lambda untuk melampirkan fungsi Anda ke VPC. Namun, Anda juga secara implisit memberikan izin ini ke kode fungsi Anda. Ini berarti bahwa kode fungsi Anda dapat melakukan panggilan EC2 API Amazon ini. Untuk saran tentang mengikuti praktik terbaik keamanan, lihatPraktik terbaik keamanan.

Melampirkan fungsi Lambda ke VPC Amazon di Akun AWS

Lampirkan fungsi Anda ke VPC Amazon di Anda Akun AWS dengan menggunakan konsol Lambda, atau. AWS CLI AWS SAM Jika Anda menggunakan AWS CLI atau AWS SAM, atau melampirkan fungsi yang ada ke VPC menggunakan konsol Lambda, pastikan bahwa peran eksekusi fungsi Anda memiliki izin yang diperlukan yang tercantum di bagian sebelumnya.

Fungsi Lambda tidak dapat terhubung langsung ke VPC dengan tenancy instans khusus. Untuk terhubung ke sumber daya dalam VPC khusus, sambungkan ke VPC kedua dengan penyewaan default.

Lambda console
Untuk melampirkan fungsi ke VPC Amazon saat Anda membuatnya

  1. Buka halaman Fungsi konsol Lambda dan pilih Buat fungsi.

  2. Di bawah Informasi Dasar, untuk Nama fungsi, masukkan nama untuk fungsi Anda.

  3. Konfigurasikan pengaturan VPC untuk fungsi dengan melakukan hal berikut:

    1. Perluas Pengaturan lanjutan.

    2. Pilih Aktifkan VPC, lalu pilih VPC yang ingin Anda lampirkan fungsinya.

    3. (Opsional) Untuk mengizinkan IPv6 lalu lintas keluar, pilih Izinkan lalu IPv6 lintas untuk subnet dual-stack.

    4. Pilih subnet dan grup keamanan untuk membuat antarmuka jaringan. Jika Anda memilih Izinkan IPv6 lalu lintas untuk subnet dual-stack, semua subnet yang dipilih harus memiliki blok CIDR dan blok IPv4 CIDR. IPv6

      catatan

      Untuk mengakses sumber daya privat, sambungkan fungsi Anda ke subnet privat. Jika fungsi Anda membutuhkan akses internet, lihatAktifkan akses internet untuk fungsi Lambda yang terhubung dengan VPC. Menghubungkan fungsi ke subnet publik tidak memberikan akses internet atau alamat IP publik.

  4. Pilih Buat fungsi.

Untuk melampirkan fungsi yang ada ke VPC Amazon

  1. Buka halaman Fungsi konsol Lambda dan pilih fungsi Anda.

  2. Pilih tab Konfigurasi, lalu pilih VPC.

  3. Pilih Edit.

  4. Di bawah VPC, pilih VPC Amazon yang ingin Anda lampirkan fungsinya.

  5. (Opsional) Untuk mengizinkan IPv6 lalu lintas keluar, pilih Izinkan lalu IPv6 lintas untuk subnet dual-stack.

  6. Pilih subnet dan grup keamanan untuk membuat antarmuka jaringan. Jika Anda memilih Izinkan IPv6 lalu lintas untuk subnet dual-stack, semua subnet yang dipilih harus memiliki blok CIDR dan blok IPv4 CIDR. IPv6

    catatan

    Untuk mengakses sumber daya privat, sambungkan fungsi Anda ke subnet privat. Jika fungsi Anda membutuhkan akses internet, lihatAktifkan akses internet untuk fungsi Lambda yang terhubung dengan VPC. Menghubungkan fungsi ke subnet publik tidak memberikan akses internet atau alamat IP publik.

  7. Pilih Simpan.

AWS CLI
Untuk melampirkan fungsi ke VPC Amazon saat Anda membuatnya

  • Untuk membuat fungsi Lambda dan melampirkannya ke VPC, jalankan perintah CLI berikut. create-function

    aws lambda create-function --function-name my-function \
--runtime nodejs22.x --handler index.js --zip-file fileb://function.zip \
--role arn:aws:iam::123456789012:role/lambda-role \
--vpc-config Ipv6AllowedForDualStack=true,SubnetIds=subnet-071f712345678e7c8,subnet-07fd123456788a036,SecurityGroupIds=sg-085912345678492fb

    Tentukan subnet dan grup keamanan Anda sendiri dan atur Ipv6AllowedForDualStack ke true atau false sesuai dengan kasus penggunaan Anda.

Untuk melampirkan fungsi yang ada ke VPC Amazon

  • Untuk melampirkan fungsi yang ada ke VPC, jalankan perintah CLI berikut. update-function-configuration

    aws lambda update-function-configuration --function-name my-function \
--vpc-config Ipv6AllowedForDualStack=true, SubnetIds=subnet-071f712345678e7c8,subnet-07fd123456788a036,SecurityGroupIds=sg-085912345678492fb
Untuk melepaskan fungsi Anda dari VPC

  • Untuk melepaskan fungsi Anda dari VPC, jalankan perintah update-function-configuration CLI berikut dengan daftar kosong subnet VPC dan grup keamanan.

    aws lambda update-function-configuration --function-name my-function \
--vpc-config SubnetIds=[],SecurityGroupIds=[]
AWS SAM
Untuk melampirkan fungsi Anda ke VPC

  • Untuk melampirkan fungsi Lambda ke VPC Amazon, tambahkan VpcConfig properti ke definisi fungsi Anda seperti yang ditunjukkan pada contoh template berikut. Untuk informasi selengkapnya tentang properti ini, lihat AWS: :Lambda: :Function VpcConfig di Panduan AWS CloudFormation Pengguna ( AWS SAM VpcConfigproperti diteruskan langsung ke VpcConfig properti sumber daya). AWS CloudFormation AWS::Lambda::Function

    AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31

Resources:
  MyFunction:
    Type: AWS::Serverless::Function
    Properties:
      CodeUri: ./lambda_function/
      Handler: lambda_function.handler
      Runtime: python3.12
      VpcConfig:
        SecurityGroupIds:
          - !Ref MySecurityGroup
        SubnetIds:
          - !Ref MySubnet1
          - !Ref MySubnet2
      Policies:
        - AWSLambdaVPCAccessExecutionRole

  MySecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: Security group for Lambda function
      VpcId: !Ref MyVPC

  MySubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref MyVPC
      CidrBlock: 10.0.1.0/24

  MySubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref MyVPC
      CidrBlock: 10.0.2.0/24

  MyVPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16

    Untuk informasi selengkapnya tentang mengonfigurasi VPC Anda, AWS lihat::EC2: :VPC AWS SAM di Panduan Pengguna.AWS CloudFormation

anchoranchoranchor
Untuk melampirkan fungsi ke VPC Amazon saat Anda membuatnya

  1. Buka halaman Fungsi konsol Lambda dan pilih Buat fungsi.

  2. Di bawah Informasi Dasar, untuk Nama fungsi, masukkan nama untuk fungsi Anda.

  3. Konfigurasikan pengaturan VPC untuk fungsi dengan melakukan hal berikut:

    1. Perluas Pengaturan lanjutan.

    2. Pilih Aktifkan VPC, lalu pilih VPC yang ingin Anda lampirkan fungsinya.

    3. (Opsional) Untuk mengizinkan IPv6 lalu lintas keluar, pilih Izinkan lalu IPv6 lintas untuk subnet dual-stack.

    4. Pilih subnet dan grup keamanan untuk membuat antarmuka jaringan. Jika Anda memilih Izinkan IPv6 lalu lintas untuk subnet dual-stack, semua subnet yang dipilih harus memiliki blok CIDR dan blok IPv4 CIDR. IPv6

      catatan

      Untuk mengakses sumber daya privat, sambungkan fungsi Anda ke subnet privat. Jika fungsi Anda membutuhkan akses internet, lihatAktifkan akses internet untuk fungsi Lambda yang terhubung dengan VPC. Menghubungkan fungsi ke subnet publik tidak memberikan akses internet atau alamat IP publik.

  4. Pilih Buat fungsi.

Untuk melampirkan fungsi yang ada ke VPC Amazon

  1. Buka halaman Fungsi konsol Lambda dan pilih fungsi Anda.

  2. Pilih tab Konfigurasi, lalu pilih VPC.

  3. Pilih Edit.

  4. Di bawah VPC, pilih VPC Amazon yang ingin Anda lampirkan fungsinya.

  5. (Opsional) Untuk mengizinkan IPv6 lalu lintas keluar, pilih Izinkan lalu IPv6 lintas untuk subnet dual-stack.

  6. Pilih subnet dan grup keamanan untuk membuat antarmuka jaringan. Jika Anda memilih Izinkan IPv6 lalu lintas untuk subnet dual-stack, semua subnet yang dipilih harus memiliki blok CIDR dan blok IPv4 CIDR. IPv6

    catatan

    Untuk mengakses sumber daya privat, sambungkan fungsi Anda ke subnet privat. Jika fungsi Anda membutuhkan akses internet, lihatAktifkan akses internet untuk fungsi Lambda yang terhubung dengan VPC. Menghubungkan fungsi ke subnet publik tidak memberikan akses internet atau alamat IP publik.

  7. Pilih Simpan.

Akses internet saat dilampirkan ke VPC

Secara default, fungsi Lambda memiliki akses ke internet publik. Ketika Anda melampirkan fungsi Anda ke VPC, itu hanya dapat mengakses sumber daya yang tersedia dalam VPC itu. Untuk memberikan akses fungsi Anda ke internet, Anda juga perlu mengkonfigurasi VPC untuk memiliki akses internet. Untuk mempelajari selengkapnya, lihat Aktifkan akses internet untuk fungsi Lambda yang terhubung dengan VPC.

IPv6 dukungan

Fungsi Anda dapat terhubung ke sumber daya di subnet VPC dual-stack. IPv6 Opsi ini dimatikan secara default. Untuk mengizinkan IPv6 lalu lintas keluar, gunakan konsol atau --vpc-config Ipv6AllowedForDualStack=true opsi dengan fungsi atau perintah buat. update-function-configuration

catatan

Untuk memungkinkan IPv6 lalu lintas keluar di VPC, semua subnet yang terhubung ke fungsi harus subnet dual-stack. Lambda tidak mendukung IPv6 koneksi keluar untuk subnet IPv6 -only di VPC, koneksi IPv6 keluar untuk fungsi yang tidak terhubung ke VPC, atau koneksi masuk menggunakan titik akhir VPC (). IPv6 AWS PrivateLink

Anda dapat memperbarui kode fungsi Anda untuk secara eksplisit terhubung ke sumber daya subnet. IPv6 Contoh Python berikut membuka soket dan menghubungkan ke server. IPv6

contoh — Connect ke IPv6 server
def connect_to_server(event, context):
    server_address = event['host']
    server_port = event['port']
    message = event['message']
    run_connect_to_server(server_address, server_port, message)

def run_connect_to_server(server_address, server_port, message):
    sock = socket.socket(socket.AF_INET6, socket.SOCK_STREAM, 0)
    try:
        # Send data
        sock.connect((server_address, int(server_port), 0, 0))
        sock.sendall(message.encode())
        BUFF_SIZE = 4096
        data = b''
        while True:
            segment = sock.recv(BUFF_SIZE)
            data += segment
            # Either 0 or end of data
            if len(segment) < BUFF_SIZE:
                break
        return data
    finally:
        sock.close()

Praktik terbaik untuk menggunakan Lambda dengan Amazon VPCs

Untuk memastikan bahwa konfigurasi VPC Lambda Anda memenuhi pedoman praktik terbaik, ikuti saran di bagian berikut.

Praktik terbaik keamanan

Untuk melampirkan fungsi Lambda Anda ke VPC, Anda harus memberikan peran eksekusi fungsi Anda sejumlah izin Amazon. EC2 Izin ini diperlukan untuk membuat antarmuka jaringan yang digunakan fungsi Anda untuk mengakses sumber daya di VPC. Namun, izin ini juga secara implisit diberikan ke kode fungsi Anda. Ini berarti bahwa kode fungsi Anda memiliki izin untuk melakukan panggilan EC2 API Amazon ini.

Untuk mengikuti prinsip akses hak istimewa paling rendah, tambahkan kebijakan penolakan seperti contoh berikut ke peran eksekusi fungsi Anda. Kebijakan ini mencegah fungsi Anda melakukan panggilan ke Amazon EC2 APIs yang digunakan layanan Lambda untuk melampirkan fungsi Anda ke VPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [ 
                 "ec2:CreateNetworkInterface",
                 "ec2:DeleteNetworkInterface",
                 "ec2:DescribeNetworkInterfaces",
                 "ec2:DescribeSubnets",
                 "ec2:DetachNetworkInterface",
                 "ec2:AssignPrivateIpAddresses",
                 "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [ "*" ],
            "Condition": {
                "ArnEquals": {
                    "lambda:SourceFunctionArn": [
                        "arn:aws:lambda:us-west-2:123456789012:function:my_function"
                    ]
                }
            }
        }
    ]
}

AWS menyediakan grup keamanan dan Daftar Kontrol Akses jaringan (ACLs) untuk meningkatkan keamanan di VPC Anda. Grup keamanan mengontrol lalu lintas masuk dan keluar untuk sumber daya Anda, dan jaringan ACLs mengontrol lalu lintas masuk dan keluar untuk subnet Anda. Grup keamanan menyediakan kontrol akses yang cukup untuk sebagian besar subnet. Anda dapat menggunakan jaringan ACLs jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untuk panduan umum tentang praktik terbaik keamanan saat menggunakan Amazon VPCs, lihat Praktik terbaik keamanan untuk VPC Anda di Panduan Pengguna Amazon Virtual Private Cloud.

Praktik terbaik kinerja

Ketika Anda melampirkan fungsi Anda ke VPC, Lambda memeriksa untuk melihat apakah ada sumber daya jaringan yang tersedia (Hyperplane ENI) yang dapat digunakan untuk terhubung. Hyperplane ENIs dikaitkan dengan kombinasi tertentu dari kelompok keamanan dan subnet VPC. Jika Anda telah melampirkan satu fungsi ke VPC, menentukan subnet dan grup keamanan yang sama saat Anda melampirkan fungsi lain berarti Lambda dapat berbagi sumber daya jaringan dan menghindari kebutuhan untuk membuat ENI Hyperplane baru. Untuk informasi selengkapnya tentang Hyperplane ENIs dan siklus hidupnya, lihat. Memahami Antarmuka Jaringan Elastis Hyperplane () ENIs

Memahami Antarmuka Jaringan Elastis Hyperplane () ENIs

Hyperplane ENI adalah sumber daya terkelola yang bertindak sebagai antarmuka jaringan antara fungsi Lambda Anda dan sumber daya yang Anda inginkan untuk terhubung ke fungsi Anda. Layanan Lambda membuat dan mengelola ini ENIs secara otomatis ketika Anda melampirkan fungsi Anda ke VPC.

Hyperplane ENIs tidak langsung terlihat oleh Anda, dan Anda tidak perlu mengkonfigurasi atau mengelolanya. Namun, mengetahui cara kerjanya dapat membantu Anda memahami perilaku fungsi Anda saat Anda melampirkannya ke VPC.

Pertama kali Anda melampirkan fungsi ke VPC menggunakan subnet tertentu dan kombinasi grup keamanan, Lambda membuat Hyperplane ENI. Fungsi lain di akun Anda yang menggunakan kombinasi subnet dan grup keamanan yang sama juga dapat menggunakan ENI ini. Jika memungkinkan, Lambda menggunakan kembali yang ada ENIs untuk mengoptimalkan pemanfaatan sumber daya dan meminimalkan pembuatan yang baru. ENIs Setiap Hyperplane ENI mendukung hingga 65.000 koneksi/port. Jika jumlah koneksi melebihi batas ini, Lambda menskalakan jumlah secara ENIs otomatis berdasarkan lalu lintas jaringan dan persyaratan konkurensi.

Untuk fungsi baru, saat Lambda membuat ENI Hyperplane, fungsi Anda tetap dalam status Pending dan Anda tidak dapat memanggilnya. Fungsi Anda beralih ke status Aktif hanya ketika Hyperplane ENI siap, yang dapat memakan waktu beberapa menit. Untuk fungsi yang ada, Anda tidak dapat melakukan operasi tambahan yang menargetkan fungsi, seperti membuat versi atau memperbarui kode fungsi, tetapi Anda dapat terus memanggil versi fungsi sebelumnya.

Sebagai bagian dari pengelolaan siklus hidup ENI, Lambda dapat menghapus dan membuat ulang ENIs untuk memuat lalu lintas jaringan keseimbangan di seluruh ENIs atau untuk mengatasi masalah yang ditemukan dalam pemeriksaan kesehatan ENI. Selain itu, jika fungsi Lambda tetap menganggur selama 30 hari, Lambda merebut kembali ENIs Hyperplane yang tidak digunakan dan menyetel status fungsi ke idle. Upaya pemanggilan berikutnya akan gagal, dan fungsi memasuki kembali status Pending hingga Lambda menyelesaikan pembuatan atau alokasi ENI Hyperplane. Kami menyarankan agar desain Anda tidak bergantung pada kegigihan. ENIs

Saat Anda memperbarui fungsi untuk menghapus konfigurasi VPC-nya, Lambda membutuhkan waktu hingga 20 menit untuk menghapus Hyperplane ENI yang terpasang. Lambda hanya menghapus ENI jika tidak ada fungsi lain (atau versi fungsi yang diterbitkan) yang menggunakan Hyperplane ENI itu.

Lambda mengandalkan izin dalam peran eksekusi fungsi untuk menghapus ENI Hyperplane. Jika Anda menghapus peran eksekusi sebelum Lambda menghapus ENI Hyperplane, Lambda tidak akan dapat menghapus ENI Hyperplane. Anda dapat melakukan penghapusan secara manual.

Menggunakan kunci syarat IAM untuk pengaturan VPC

Anda dapat menggunakan kunci syarat khusus Lambda untuk pengaturan VPC guna memberikan kontrol izin tambahan untuk fungsi Lambda Anda. Misalnya, Anda dapat meminta semua fungsi dalam organisasi Anda terhubung ke VPC. Anda juga dapat menentukan subnet dan grup keamanan yang dapat dan tidak dapat digunakan oleh pengguna fungsi.

Lambda mendukung kunci syarat berikut dalam kebijakan IAM:

  • lambda: VpcIds — Izinkan atau tolak satu atau lebih VPCs.

  • lambda: SubnetIds — Izinkan atau tolak satu atau lebih subnet.

  • lambda: SecurityGroupIds — Izinkan atau tolak satu atau lebih grup keamanan.

Operasi API Lambda CreateFunction dan UpdateFunctionConfiguration mendukung kunci kondisi ini. Untuk informasi selengkapnya tentang penggunaan kunci syarat dalam kebijakan IAM, lihat elemen kebijakan IAM JSON: Syarat di Panduan Pengguna IAM.

Tip

Jika fungsi Anda sudah mencakup konfigurasi VPC dari permintaan API sebelumnya, Anda dapat mengirim permintaan UpdateFunctionConfiguration tanpa konfigurasi VPC.

Contoh kebijakan dengan kunci syarat untuk pengaturan VPC

Contoh-contoh berikut ini menunjukkan cara menggunakan kunci syarat untuk pengaturan VPC. Setelah Anda membuat pernyataan kebijakan dengan batasan yang diinginkan, tambahkan pernyataan kebijakan untuk pengguna atau peran target.

Pastikan pengguna hanya men-deploy fungsi yang terhubung dengan VPC

Untuk memastikan semua pengguna hanya men-deploy fungsi yang terhubung dengan VPC, Anda dapat menolak operasi pembuatan dan pembaruan fungsi yang tidak mencakup ID VPC yang valid.

Perhatikan bahwa ID VPC bukan parameter input ke CreateFunction atau permintaan UpdateFunctionConfiguration. Lambda mengambil nilai ID VPC berdasarkan parameter subnet dan grup keamanan.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceVPCFunction",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "Null": {
           "lambda:VpcIds": "true"
        }
      }
    }
  ]
}

Menolak akses pengguna ke grup tertentu VPCs, subnet, atau keamanan

Untuk menolak akses pengguna ke spesifik VPCs, gunakan StringEquals untuk memeriksa nilai lambda:VpcIds kondisi. Contoh berikut menolak akses pengguna ke vpc-1 dan vpc-2.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceOutOfVPC",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
            "lambda:VpcIds": ["vpc-1", "vpc-2"]
        }
      }
    }

Untuk menolak akses pengguna ke subnet tertentu, gunakan StringEquals untuk memeriksa nilai syarat lambda:SubnetIds. Contoh berikut menolak akses pengguna ke subnet-1 dan subnet-2.

{
      "Sid": "EnforceOutOfSubnet",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
            "lambda:SubnetIds": ["subnet-1", "subnet-2"]
        }
      }
    }

Untuk menolak akses pengguna ke grup keamanan tertentu, gunakan StringEquals untuk memeriksa nilai syarat lambda:SecurityGroupIds. Contoh berikut menolak akses pengguna ke sg-1 dan sg-2.

{
      "Sid": "EnforceOutOfSecurityGroups",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
            "lambda:SecurityGroupIds": ["sg-1", "sg-2"]
        }
      }
    }
  ]
}

Mengizinkan pengguna untuk membuat dan memperbarui fungsi dengan pengaturan VPC tertentu

Untuk memungkinkan pengguna mengakses spesifik VPCs, gunakan StringEquals untuk memeriksa nilai lambda:VpcIds kondisi. Contoh berikut mengizinkan pengguna mengakses vpc-1 dan vpc-2.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceStayInSpecificVpc",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
            "lambda:VpcIds": ["vpc-1", "vpc-2"]
        }
      }
    }

Untuk mengizinkan pengguna mengakses subnet tertentu, gunakan StringEquals untuk memeriksa nilai syarat lambda:SubnetIds. Contoh berikut mengizinkan pengguna mengakses subnet-1 dan subnet-2.

{
      "Sid": "EnforceStayInSpecificSubnets",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringEquals": {
            "lambda:SubnetIds": ["subnet-1", "subnet-2"]
        }
      }
    }

Untuk mengizinkan pengguna mengakses grup keamanan tertentu, gunakan StringEquals untuk memeriksa nilai syarat lambda:SecurityGroupIds. Contoh berikut mengizinkan pengguna mengakses sg-1 dan sg-2.

{
      "Sid": "EnforceStayInSpecificSecurityGroup",
      "Action": [
          "lambda:CreateFunction",
          "lambda:UpdateFunctionConfiguration"
       ],
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringEquals": {
            "lambda:SecurityGroupIds": ["sg-1", "sg-2"]
        }
      }
    }
  ]
}

Tutorial VPC

Dalam tutorial berikut, Anda menghubungkan fungsi Lambda ke sumber daya di VPC Anda.

Di halaman ini

Related resources

AWS Lambda Referensi API
AWS CLI perintah untuk AWS Lambda
SDKs & Alat 

Related resources

AWS Lambda Referensi API
AWS CLI perintah untuk AWS Lambda
SDKs & Alat 
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.