Skip to content
Khoá học AWSServerless trong AWSLambda Network & Security

Networking trong Lambda

Lambda có nằm trong VPC không?

Mặc định, Lambda không nằm trong VPC của bạn mà chạy trong một VPC do AWS quản lý với quyền truy cập Internet.
Nếu muốn kết nối với tài nguyên trong VPC riêng (như RDS, ElastiCache, Private API), cần cấu hình VPC Integration:

  • Gắn Lambda vào VPC + Subnet + Security Group.
  • Khi đó Lambda không còn Internet access trực tiếp.
  • Để ra Internet, cần gắn NAT Gateway/NAT Instance trong public subnet.

📌 Best practice:

  • Tách biệt private subnet cho Lambda khi truy cập RDS hoặc hệ thống nội bộ.
  • Dùng VPC Endpoints (Interface/Gateway) để kết nối AWS services (S3, DynamoDB) mà không cần Internet.

ENI (Elastic Network Interface)

  • Khi Lambda được đặt vào VPC của bạn, AWS sẽ tạo ENI trong subnet.
  • ENI gắn security group, từ đó kiểm soát traffic in/out.

Security trong Lambda

IAM Role & Permissions

  • Mỗi Lambda function gắn với một IAM Execution Role.
  • Role này định nghĩa function có thể gọi đến AWS service nào (ví dụ: S3:GetObject, DynamoDB:PutItem).
  • Nguyên tắc Least Privilege: chỉ cấp quyền cần thiết.

Resource-based Policies là gì

  • Cho phép service khác (S3, SNS) gọi Lambda.
  • Ví dụ: S3 có thể invoke Lambda khi có event upload.

Data Protection

  • Mã hoá dữ liệu:

    • Environment variables của Lambda được mã hóa bằng KMS.
    • Lambda có thể truy cập secret qua AWS Secrets Manager hoặc SSM Parameter Store.

  • Network security:

    • Sử dụng Security Groups để giới hạn traffic đến RDS, ElastiCache.
    • VPC Endpoints để tránh expose traffic ra Internet.

Isolation & Sandboxing

  • Mỗi execution environment chạy trong sandbox riêng biệt.
  • Lambda tách biệt với tenant khác bằng công nghệ Firecracker microVM.
  • Điều này đảm bảo function của bạn không ảnh hưởng function khác.

Monitoring & Logging

  • CloudWatch Logs: Lambda tự động gửi log output (stdout, stderr) đến CloudWatch.
  • CloudWatch Metrics: cung cấp chỉ số invocation count, duration, errors, throttles.

Tóm tắt

  • Lambda có thể chạy mặc định ngoài VPC (có Internet) hoặc trong VPC (private resources).
  • Security quản lý bằng IAM Role, resource policies, encryption, security groups.
  • Execution environment được cô lập bằng sandbox (Firecracker).
Lambda Invocation & TriggersUsecase thường gặp của Lambda