Connessione degli VPC endpoint dell'interfaccia in ingresso per Lambda - AWS Lambda
Considerazioni per gli endpoint di interfaccia LambdaCreazione di un endpoint di interfaccia per LambdaCreazione di una policy degli endpoint di interfaccia per Lambda

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione degli VPC endpoint dell'interfaccia in ingresso per Lambda

Se utilizzi Amazon Virtual Private Cloud (AmazonVPC) per ospitare AWS le tue risorse, puoi stabilire una connessione tra te VPC e Lambda. È possibile utilizzare questa connessione per richiamare la propria funzione Lambda senza attraversare l'Internet pubblico.

Per stabilire una connessione privata tra te VPC e Lambda, crea un endpoint di interfaccia VPC. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, il che consente di accedere in modo privato a Lambda APIs senza un gateway Internet, un NAT dispositivo, una connessione o una VPN connessione. AWS Direct Connect Le istanze del tuo VPC non hanno bisogno di indirizzi IP pubblici per comunicare con LambdaAPIs. Il traffico tra te VPC e Lambda non esce dalla AWS rete.

Ogni endpoint di interfaccia è rappresentato da una o più interfacce di rete elastiche nelle sottoreti. Un'interfaccia di rete fornisce un indirizzo IP privato che funge da punto di ingresso per il traffico verso Lambda.

Considerazioni per gli endpoint di interfaccia Lambda

Prima di configurare un endpoint di interfaccia per Lambda, assicurati di consultare le proprietà e le limitazioni degli endpoint dell'interfaccia nella Amazon VPC User Guide.

Puoi chiamare qualsiasi API operazione Lambda dal tuo. VPC Ad esempio, puoi richiamare la funzione Lambda chiamando l'elemento dall'interno Invoke API del tuo. VPC Per l'elenco completo di LambdaAPIs, consulta Actions in the Lambda reference. API

use1-az3è una regione a capacità limitata per le funzioni LambdaVPC. L'utilizzo di sottoreti con le funzioni Lambda in questa zona di disponibilità non è consigliato perché, in caso di interruzione del servizio, potrebbe provocare una riduzione della ridondanza zonale.

Keep-alive per connessioni persistenti

Lambda elimina le connessioni inattive nel tempo, quindi occorre utilizzare una direttiva keep-alive per mantenere le connessioni persistenti. Se si tenta di riutilizzare una connessione inattiva quando si richiama una funzione, si verificherà un errore di connessione. Per mantenere la connessione persistente, utilizzare la direttiva keep-alive associata al runtime. Per un esempio, vedere Riutilizzo delle connessioni con Keep-Alive in Node.js nella Guida per gli sviluppatori di AWS SDK for JavaScript .

Considerazioni sulla fatturazione

Non vi è alcun costo aggiuntivo per accedere a una funzione Lambda tramite un endpoint di interfaccia. Per ulteriori informazioni sui prezzi di Lambda, consulta Prezzi di AWS Lambda.

Il prezzo standard AWS PrivateLink si applica agli endpoint di interfaccia per Lambda. All' AWS account viene fatturata ogni ora di provisioning di un endpoint di interfaccia in ciascuna zona di disponibilità e per i dati elaborati tramite l'endpoint di interfaccia. Per ulteriori informazioni sui prezzi degli endpoint di interfaccia, consulta Prezzi di AWS PrivateLink.

VPCConsiderazioni sul peering

È possibile connettere altri endpoint VPCs all'interfaccia VPC con interfaccia tramite peering. VPC VPCil peering è una connessione di rete tra due. VPCs Puoi stabilire una connessione VPC peering tra i tuoi due account VPCs o con un altro VPC AWS account. VPCsPossono anche trovarsi in due AWS regioni diverse.

Il traffico tra utenti VPCs peer rimane sulla AWS rete e non attraversa la rete Internet pubblica. Una volta VPCs eseguito il peering, risorse come le istanze Amazon Elastic Compute Cloud (AmazonEC2), le istanze Amazon Relational Database Service (RDSAmazon) VPC o le funzioni Lambda abilitate VPCs in entrambe possono accedere a Lambda tramite endpoint di interfaccia creati in uno API dei. VPCs

Creazione di un endpoint di interfaccia per Lambda

Puoi creare un endpoint di interfaccia per Lambda utilizzando la console VPC Amazon o AWS Command Line Interface ().AWS CLI Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia nella Amazon VPC User Guide.

Per creare un endpoint di interfaccia per Lambda (console)

  1. Apri la pagina Endpoints della VPC console Amazon.

  2. Scegliere Create Endpoint (Crea endpoint).

  3. In Categoria del servizio, assicurati che sia selezionato Servizi di AWS .

  4. Per Nome del servizio, scegli com.amazonaws.region.lambda. Verificare che il tipo sia Interfaccia.

  5. Scegli una VPC e sottoreti.

  6. Per abilitare la modalità privata DNS per l'endpoint dell'interfaccia, seleziona la casella di controllo Abilita DNS nome. Ti consigliamo di abilitare i DNS nomi privati per i tuoi VPC endpoint per. Servizi AWS Ciò garantisce che le richieste che utilizzano gli endpoint del servizio pubblico, ad esempio le richieste effettuate tramite un AWS SDK, vengano risolte sul tuo VPC endpoint.

  7. Per gruppo di sicurezza, scegliere uno o più gruppi di sicurezza.

  8. Seleziona Crea endpoint.

Per utilizzare l'DNSopzione privata, devi impostare la enableDnsHostnames e enableDnsSupportattributes del tuo. VPC Per ulteriori informazioni, consulta la sezione Visualizzazione e aggiornamento del DNS supporto VPC nella Amazon VPC User Guide. Se abiliti private DNS per l'endpoint dell'interfaccia, puoi effettuare API richieste a Lambda utilizzando il nome DNS predefinito per la regione, ad esempio. lambda.us-east-1.amazonaws.com Per ulteriori endpoint di servizio, vedere Endpoint e quote del servizio in Riferimenti generali di AWS.

Per ulteriori informazioni, consulta Accedere a un servizio tramite un endpoint di interfaccia nella Amazon VPC User Guide.

Per informazioni sulla creazione e configurazione di un endpoint utilizzando AWS CloudFormation, consulta la VPCEndpoint risorsa AWS:::EC2: nella Guida per l'AWS CloudFormation utente.

Per creare un endpoint di interfaccia per Lambda (AWS CLI)

Utilizzate il create-vpc-endpointcomando e specificate l'VPCID, il tipo di VPC endpoint (interfaccia), il nome del servizio, le sottoreti che utilizzeranno l'endpoint e i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint. Per esempio:

aws ec2 create-vpc-endpoint 
  --vpc-id vpc-ec43eb89
  --vpc-endpoint-type Interface
  --service-name com.amazonaws.us-east-1.lambda
  --subnet-id subnet-abababab
  --security-group-id sg-1a2b3c4d

Creazione di una policy degli endpoint di interfaccia per Lambda

Per controllare chi può utilizzare l'endpoint di interfaccia e a quali funzioni Lambda l'utente può accedere, è possibile allegare una policy endpoint all'endpoint. La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le azioni che l'entità può eseguire.

  • Le risorse su cui l'utente/gruppo/ruolo può eseguire azioni.

Per ulteriori informazioni, consulta Controllare l'accesso ai servizi con VPC endpoint nella Amazon VPC User Guide.

Esempio: policy endpoint di interfaccia per le azioni Lambda

Di seguito è riportato un esempio di una policy endpoint per Lambda. Quando è collegata a un endpoint, questa policy consente all'utente MyUser di richiamare la funzione my-function.

Nota

È necessario includere nella risorsa sia la funzione ARN qualificata che quella non qualificata.

{
   "Statement":[
      {
         "Principal":
         { 
             "AWS": "arn:aws:iam::111122223333:user/MyUser" 
         },
         "Effect":"Allow",
         "Action":[
            "lambda:InvokeFunction"
         ],
         "Resource": [
               "arn:aws:lambda:us-east-2:123456789012:function:my-function",
               "arn:aws:lambda:us-east-2:123456789012:function:my-function:*"
            ]
      }
   ]
}