是否可以使用 SQS 的 VPC 端点关闭私有子网中 Lambda 的开放入口？

Question

这本质上与这个问题相同。然而，利用 VPC 端点的解决方案和利用 NAT 网关的解决方案对我来说不起作用，如下所述。

我的设置：

• VPC 的私有子网中有多个 lambda
• 公共子网中有一个 NAT 网关，允许 lambda 连接到互联网并访问外部 API（这工作得很好）
• 还有还有在私有子网中配置了正确的 URL “com.amazonaws..sqs” 的 VPC 终端节点
• 安全组允许来自私有子网中的 lambda 的开放出口，但不允许不允许允许开放入口

当我的 Lamba 尝试发送到 SQS 时，我收到超时错误。但是，当我修改安全组以允许开放入口时，它就起作用了！

问题：

1. 如何为 SQS VPC 端点/NAT 网关解决方案设置安全组，以便 VPC 中私有子网中的 lambda 发送到 SQS？
2. 使用 VPC 终端节点是否需要开放入口？
3. 如果是这样，为什么需要它？为了解决这个问题，我们尝试从 AWS 提取 IP 范围（此处）但没有 SQS 特定的 IP，因此我们被迫获取该区域中的所有 IP，并将其添加到一个安全组（或多个安全组，因为它们的数量很大）。

Answer 1

1. 如何为 VPC 私有子网中的 lambda 的 SQS VPC 端点/NAT 网关解决方案设置安全组
   发送至SQS？

VPC 终端节点应具有一个安全组，该安全组允许从分配给 Lambda 函数的安全组进入。

使用 VPC 端点是否需要开放入口？

VPC 终端节点的全部要点是允许将连接发送到终端节点，然后将连接转发到 VPC 外部存在的服务。如果您不允许任何到 VPC 终端节点的入口连接，则该终端节点将无法工作。

如果是这样，为什么需要这样做？为了解决这个问题，我们尝试从 AWS 中提取 IP 范围（此处），但没有 SQS 特定的 IP，因此我们
被迫将其全部纳入该区域并添加到安全组
（或者多个，因为它们的数量很大）。

为什么要将 SQS IP 添加为 SQS VPC 终端节点的入口？我开始怀疑你是否混合了入口和出口。您说您的 Lambda 函数正在尝试发送到 SQS。发送是出口。 Lambda 函数需要一个允许出口到 SQS 的安全组。

VPC 终端节点需要接受来自 Lambda 函数的流量。来自 Lambda 函数的流量被视为 VPC 终端节点的入口流量。

对于通过 VPC 终端节点发送 SQS 消息的 Lambda 函数，您需要以下安全组：

Lambda 函数安全组：

入口：无

出口：连接到 VPC 终端节点安全组的端口 443，或者只是（所有） )

VPC 端点的安全组：

入口：来自 Lambda 函数安全组的端口 443

出口：（全部）