Cách chỉ cho phép các yêu cầu API Gateway tiếp cận các phiên bản EC2 của chúng tôi

7

Chúng tôi có nhiều phiên bản EC2 lưu trữ các dịch vụ vi mô của chúng tôi. Nhóm máy chủ tự động có ELB. Tất cả lưu lượng được định tuyến thông qua Cổng API AWS. Vấn đề là ELB có cổng HTTPS mở ra thế giới.

Làm cách nào để bảo vệ máy chủ của chúng tôi, để lưu lượng truy cập chỉ được phép đi qua API Gateway?

amazon-web-services security

— Evgeny
nguồn

6

Kể từ tháng 11 năm 2017, giờ đây có thể tương tác trực tiếp với các máy chủ trong VPC \ o /

Xem:

— Maxime Thoonsen
nguồn

1

Bạn có thể thử thêm một số thông tin từ tài liệu aws trong trường hợp aws di chuyển tài liệu của họ để người đọc trong tương lai có thể tìm kiếm theo một thuật ngữ cụ thể để tìm lại nếu liên kết bị hỏng.

— Tensibai

4

Sự bảo vệ tốt nhất cho các máy chủ của bạn nếu bạn không muốn đưa HTTPS của họ ra thế giới sẽ là cách ly chúng trong VPC .

Tuy nhiên, API Gateway không thể được cấu hình để tương tác trực tiếp với các máy chủ trong VPC / mạng con (chưa). Để vượt qua giới hạn đó, bạn có thể ủy quyền lưu lượng truy cập của mình từ Cổng API thông qua AWS Lambda để đến VPC. Blog AWS có một bài đăng blog tuyệt vời giải thích chính xác làm thế nào để làm như vậy.

Cô lập máy chủ của bạn trong VPC sẽ an toàn hơn so với việc giữ chúng trên Internet công cộng và cố gắng xây dựng một cái gì đó để phát hiện xem lưu lượng có hợp pháp không (đến từ cổng API).

— Alexandre
nguồn

Việc ủy quyền thông qua Lambda sẽ cực kỳ tốn kém cho bất kỳ API hoạt động vừa phải nào. Phải có lựa chọn tốt hơn thế.

— Evgeny

1

Cực kỳ tốn kém? Làm sao vậy Bạn có thể chia sẻ số liệu thống kê sử dụng của bạn?

— Alexandre

1

Nói 150m thực thi mỗi tháng, tối đa 400ms mỗi yêu cầu. Chọn loại Lambda 128mb hiệu suất thấp nhất. Máy tính tại s3.amazonaws.com/lambda-tools/pricing-calculator.html hiển thị khoảng ~ $ 150 / tháng. Trên thực tế không phải là cực kỳ đắt tiền, nhưng cũng không đáng kể.

— Evgeny