VPC内のLambdaからAWS S3にアクセス

Question

全体的に、私はVPC内でAWS Lambdaを使用するとかなり混乱します。問題は、S3バケットにアクセスしようとしているときにラムダがタイムアウトしてしまうことです。ソリューションはVPCエンドポイントのようです。

ラムダ関数をVPCに追加して、RDSホストデータベースにアクセスできるようにしました（以下のコードでは表示されていませんが、機能しています）。しかし、今は私はS3にアクセスすることはできません。

私はVPC S3エンドポイントを作成しようとしましたが、何も変更されていません。

VPCの設定

私は最初のEC2インスタンスを作った時はいつでも私は、デフォルトで作成されたシンプルなVPCを使用しています。これには4つのサブネットがあり、すべてデフォルトで作成されます。

VPCのルートテーブル

_Destination - Target - Status - Propagated_ 

172.31.0.0/16 - local - Active - No 

pl-63a5400a (com.amazonaws.us-east-1.s3) - vpce-b44c8bdd - Active - No 

0.0.0.0/0 - igw-325e6a56 - Active - No 

シンプルS3ダウンロードラムダ：

import boto3 
import pymysql 
from StringIO import StringIO 

def lambda_handler(event, context): 
    s3Obj = StringIO() 

    return boto3.resource('s3').Bucket('marineharvester').download_fileobj('Holding - Midsummer/sample', s3Obj) 

Answer 1

私の問題の原因は、適切に私のセキュリティグループの送信の規則を設定していないされていました。具体的には、宛先にpl-XXXXXXXXというカスタムプロトコルアウトバウンドルールを追加する必要がありました（S3サービス、実際の値はAWS Consoleによって提供されました）。

Answer 2

boto3の場合、S3 URLは仮想となります。インターネットにアクセスするには、地域固有のURLに解決する必要があります。これにより、タイムアウトまでラムダ関数のハングが発生します。通話中の領域がする領域でなければならないこと

import boto3 import botocore.config 

client = boto3.client('s3', 'ap-southeast-2, config=botocore.config.Config(s3={'addressing_style':'path'})) 

注：代わりにパスベースのS3のURLを作成するためにboto3指示しますクライアントを作成するときにこの問題を解決するには

はConfigオブジェクトを使用する必要がありますラムダとVPCエンドポイントを展開しています。

次に、Lambdaのセキュリティグループ内のVPCエンドポイントにpl-xxxxxxプレフィックスリストを使用して、S3にアクセスすることができます。

ここにはこれを実証する作業CloudFormation scriptがあります。 S3バケット、プライベートサブネットとVPCエンドポイントのみを含むVPC、および必要なIAMロールに関連付けられたラムダ（バケットにレコードを格納する）を作成します。