實驗室概觀
安全性是 Amazon Web Services (AWS) 的首要任務。AWS 提供許多工具和服務以滿足您獨特的安全需求。本實驗室提供一個增強安全性的解決方案 (眾多解決方案之一)。本實驗室將引導您完成自動更新您的 Amazon Virtual Private Cloud (Amazon VPC) 安全群組,以僅允許從 Amazon CloudFront 和 AWS WAF 存取的方法。以這種方式定義安全群組規則,可防止惡意請求繞過 AWS WAF 安全規則,並直接存取您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。
若要僅允許源自 CloudFront 和 AWS WAF IP 範圍的流量,您需要了解 AWS IP 變更。AWS 透過公有 Amazon Simple Notification Service (Amazon SNS) 主題通知使用者服務 IP 變更,該主題以 JSON 格式提供服務 IP 範圍。本實驗室使用 Amazon SNS 和 AWS Lambda 之間的整合,示範使用這些新 IP 自動更新安全群組的方法。
涵蓋的主題
完成本實驗室之後,您應該能夠:
- 建立 Amazon VPC 安全群組
- 建立 AWS Identity and Access Management (IAM) 政策
- 建立 AWS Lambda 函數
- 使用範例事件測試 Lambda 函數
- 將 Lambda 函數訂閱到 Amazon SNS 主題
技術知識先決條件
本實驗室適用於 AWS 學員。若要成功完成本實驗室,您應熟悉 AWS 服務,包括 Amazon EC2、Amazon VPC 安全群組、IAM 角色與政策以及 Amazon SNS。您應熟悉登入和使用 AWS 管理主控台。
什麼是 AWS Lambda?
AWS Lambda 是一項運算服務,可在雲端中提供可調整大小的運算容量,讓開發人員更輕鬆地進行 Web 規模運算。將程式碼上傳到 Lambda,而該服務使用 AWS 基礎設施代表您執行程式碼。Lambda 支援多種程式語言,例如 Node.js、Java 和 Python。
上傳程式碼並建立 Lambda 函數後,Lambda 會佈建和管理執行程式碼的伺服器。在這個實驗室中,Lambda 作為觸發器導向的運算服務,以利執行您的程式碼,藉此回應 Amazon EC2 安全群組的變更。Lambda 函數的程式碼隨本實驗室提供。
什麼是 AWS CloudFormation?
AWS CloudFormation 讓開發人員和系統管理員可以建立和管理相關 AWS 資源集合,並透過井然有序且可預測的方式佈建及更新。
使用範例範本或建立自己的範本來描述 AWS 資源,以及執行應用程式時所需的任何相關相依性或執行時間參數。您不需要了解佈建 AWS 服務的順序或讓這些相依性發揮功效的細節。AWS CloudFormation 會為您妥善處理。
透過使用主控台、AWS Command Line Interface (AWS CLI) 或 API 操作,對「範本」及其相關的資源集合 (稱為「堆疊」) 進行部署和更新。AWS CloudFormation 無需額外的費用即可使用,只需為執行應用程式所需的 AWS 資源付費。