[New] LambdaファンクションからのVPC内リソースへのアクセス
数カ月前に、まもなくAWS LambdaのファンクションからVPC内のリソースにアクセスが可能になるとアナウンスしました。本日、この非常に求められていた機能が利用可能になり、本日から使い始められるようになったことをアナウンスでき嬉しいです。
LambdaファンクションはAmazon RedshiftのデータウェアハウスやAmazon ElastiCacheクラスタ、Amazon Relational Database Service (RDS)のインスタンス、そして特定VPC内からのみアクセス可能なサービスのエンドポイントにアクセスできます。これを実施するためには、自身のVPCを1つ選択し、適切なサブネットとセキュリティグループを指定するだけです。LambdaファンクションがVPC内のリソースへのアクセス可能にするために、Lambdaはこれらの情報を元にElastic Network Interfaces (ENI)とプライベートIPアドレス(指定したサブネット内から取り出したもの)をセットアップします。
VPC内のリソースへのアクセス
これらは新規のファンクションを作成するときにセットアップできます。また、VPCアクセスをするために既存のファンクションをアップデートすることも可能です。LambdaのコンソールもしくはCLIからこの機能を構成できます。こちらがコンソールからのセットアップ方法になります。
必要なことはこれだけです!疑問がある場合はLambdaのドキュメント内、Configuring a Lambda Function to Access Resources in an Amazon VPCをご確認ください。
知っておくこと
以下はこの新機能について知っておくべきいくつかのことになります。
ENIとIPアドレスリソース – 処理が必要なイベント数に応じてLambdaが自動的にスケールするので、VPCは指定されたサブネット上に十分な空きIPアドレスを持っている必要があります。
インターネットアクセス - 特定のファンクションに対してこの機能を有効にすると、そのファンクションは標準ではインターネットへアクセスできなくなります。もしファンクションがこの種のアクセスが必要ならば、VPC内にManaged NAT Gatewayをセットアップするか(こちらの詳細はNew – Managed NAT (Network Address Translation) Gateway for AWSを参照ください)、独自のNAT(NAT インスタンスを参照)を実行する必要があります。
セキュリティグループ - ファンクションのために使用するセキュリティグループがサブネット内とインターネット上のリソースへのファンクションのアクセスをコントロールします。
S3エンドポイント - VPCにあるS3エンドポイント(詳細はNew – VPC Endpoint for Amazon S3)へのアクセスにもこの機能が使えます。
Webinar - この新機能に関して詳しく知りたい場合は、Webnarにご参加ください。Essentials: Introducing AWS Support for AWS Lambda
ーJeff(翻訳は西谷(@Keisuke69)が担当しました。原文はこちら)
コメント