AWS Lambda - 與AWS API交談的最小安全組是什麼？

Question

我有一個需要與幾個AWS API交談的lambda。 它訪問EC2和Route53 API以獲取實例的IP地址並更新Route53記錄集。

lambda運行在ap-southeast-2的私有VPC中。爲了使API調用的工作，我有以下的出口規則添加到LAMBDA的安全組：

resource "aws_security_group_rule" "https-egress-lambda-to-all" { 
    type = "egress" 
    from_port = 443 
    to_port = 443 
    protocol = "tcp" 
    security_group_id = "${aws_security_group.lambda-sg.id}" 
    cidr_blocks = ["0.0.0.0/0"] 
} 

目前，這條規則說"allow this lambda to talk to anything on the internet via port 443"。我想把這個聲明縮小到"allow this lambda to talk to the AWS API servers only"。

我認爲VPC端點可能是應該這樣做的方式，但顯然這隻適用於S3。

有什麼辦法來鎖定一個安全組的出口規則只允許到AWS API 服務器訪問？

Answer 1

AWS發佈它用於服務的IP範圍。您可以設置規則以僅允許這些IP地址範圍。隨着他們經常變化，您可能想要自動化。詳細信息在這裏：https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html