Lambda安全组呼叫S3和机密管理器

Question

我对Terraform (TF)和AWS很陌生。我创建了一个TF，它创建了一个RDS集群、VPC和安全组、S3桶、秘密管理器(SM)以及访问上述所有内容的lambda。我已经把RDS VPC和安全小组附加到lambda了。因此，lambda中的代码可以成功地访问RDS。我的问题是，我需要一个安全组，允许从机密管理器读取lambda代码以获得RDS用户帐户，并允许S3在RDS上执行sql脚本。因此，一个具有出站到S3和机密管理器的安全组。

我如何获得地形来计算(数据)到SM和S3的细节。然后使用此信息创建安全组，以允许lambda代码访问SM和S3。

目前，我正在强迫我的方式与“全部到所有0.0.”，这将不允许在生产环境。

Answer 1

So，一个具有出站到S3和机密管理器的安全组。

最简单的方法是使用S3 VPC接口端点，而不是S3网关。因此，如果您有两个用于S3和SM的端点，则这两个端点都将与您必须在代码中创建的SG相关联，否则它们将使用默认的一个。

因此，为了简单地限制您的lambda对S3和SM的访问，您只需在您的lambda的SG中使用reference --接口的SGs。