Conexión de puntos de conexión de VPC de la interfaz de entrada para Lambda

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar sus recursos de AWS, puede establecer una conexión entre su VPC y Lambda. Puede utilizar esta conexión para invocar la función de Lambda sin pasar por la red pública de Internet.

Puede establecer una conexión privada entre la VPC y Lambda mediante la creación de un punto de enlace de la VPC de interfaz. Los puntos de enlace de interfaz cuentan con la tecnología de AWS PrivateLink, lo que les permite acceder de forma privada a las API de Lambda sin utilizar una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN o una conexión AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con las API de Lambda. El tráfico entre la VPC y Lambda no sale de la red de AWS.

Cada punto de enlace de la interfaz está representado por una o más interfaces de redes elásticas en las subredes. Una interfaz de red proporciona una dirección IP privada que sirve como punto de entrada del tráfico dirigido a Lambda.

Consideraciones para los puntos de enlace de la interfaz Lambda

Antes de configurar un punto de enlace de la interfaz para Lambda, revise el tema Propiedades y limitaciones de los puntos de enlace de interfaz en la Guía del usuario de Amazon VPC.

Puede llamar a cualquiera de las operaciones de API de Lambda desde su VPC. Por ejemplo, puede invocar la función de Lambda llamando a la API de Invoke desde su VPC. Para ver la lista completa de las API de Lambda, consulte Actions (Acciones) en la Referencia de las API de Lambda.

use1-az3 es una región de capacidad limitada para las funciones de la VPC de Lambda. No debe utilizar subredes en esta zona de disponibilidad con las funciones de Lambda, ya que esto puede reducir la redundancia zonal en caso de una interrupción.

Directiva ”keep-alive” para conexiones persistentes

Con el tiempo, Lambda depura las conexiones inactivas, por lo que es necesario utilizar una directiva keep-alive para conservar las conexiones persistentes. Si intenta reutilizar una conexión inactiva al invocar una función, se producirá un error de conexión. Para mantener la conexión persistente, use la directiva keep-alive asociada al tiempo de ejecución. Para ver un ejemplo, consulte Reutilización de conexiones con Keep-Alive en Node.js en la Guía del desarrollador de AWS SDK for JavaScript.

Consideraciones de facturación

No se generan costos adicionales por acceder a una función de Lambda a través de un punto de enlace. Para obtener más información sobre los precios de Lambda, consulte los Precios de AWS Lambda.

Los precios estándar de AWS PrivateLink se aplica a los puntos de enlace de la interfaz para Lambda. Su cuenta de AWS se facturará cada hora de aprovisionamiento de un punto de enlace de interfaz en cada zona de disponibilidad y los datos procesados a través del punto de enlace de la interfaz. Para obtener más información sobre los precios de los puntos de enlace de tipo interfaz, consulte Precios de AWS PrivateLink.

Consideraciones sobre la interconexión de VPC

Puede conectar una VPC a otra con puntos de enlace de interfaz mediante Interconexión con VPC. El emparejamiento de VPC es una conexión de red entre dos VPC. Puede establecer una interconexión de VPC entre dos VPC propias o con una VPC de otra cuenta de AWS. Las VPC también pueden estar en dos regiones de AWS diferentes.

El tráfico entre las VPC emparejadas permanece en la red de AWS y no pasa por la red pública de Internet. Una vez que las VPC están interconectadas, algunos recursos como las instancias de Amazon Elastic Compute Cloud (Amazon EC2), las instancias de Amazon Relational Database Service (Amazon RDS) o las funciones de Lambda habilitadas para VPC pueden acceder a la API de Lambda a través de puntos de enlace de interfaz creados en una de las VPC.

Creación de un punto de enlace de interfaz para Lambda

Puede crear un punto de enlace de interfaz para Lambda mediante la consola de Amazon VPC o la AWS Command Line Interface (AWS CLI). Para más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Para crear un punto de enlace de interfaz para Lambda (consola)

1. Abra la página Endpoints (Puntos de enlace) de la consola de Amazon VPC.

2. Seleccione Crear punto de conexión.

3. En Service category (Categoría del servicio), asegúrese de que se seleccione servicios de AWS.

4. En Service Name (Nombre del servicio), elija com.amazonaws.región.lambda. Compruebe que el valor de Type (Tipo) es Interface (Interfaz).

5. Elija una VPC y las subredes.

6. Para habilitar un DNS privado para el punto de enlace de interfaz, seleccione Enable DNS Name (Habilitar nombre de DNS), en la casilla de verificación.

7. En Security group (Grupo de seguridad), elija uno o varios grupos de seguridad.

8. Seleccione Crear punto de conexión.

Para poder utilizar la opción de DNS privado, debe definir enableDnsHostnames y enableDnsSupportattributes en su VPC. Para obtener más información, consulte Viewing and updating DNS support for your VPC (Visualización y actualización de la compatibilidad de DNS para su VPC) en la Guía del usuario de Amazon VPC. Si habilita DNS privado para el punto de enlace de interfaz, puede realizar solicitudes a la API para Lambda usando su nombre de DNS predeterminado para la región, por ejemplo lambda.us-east-1.amazonaws.com. Para ver otros puntos de enlace de servicio, consulte Service endpoints and quotas en la Referencia general de AWS.

Para más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Para obtener información acerca de cómo se crea y configura un punto de enlace mediante AWS CloudFormation, consulte el recurso AWS::EC2::VPCEndpoint en la Guía del usuario de AWS CloudFormation.

Si desea crear un punto de enlace de la interfaz para Lambda (AWS CLI)

Utilice el comando create-vpc-endpoint y especifique el ID de la VPC, el tipo de punto de enlace de la VPC (interfaz), el nombre del servicio, las subredes que usarán el punto de enlace y los grupos de seguridad que se asociarán a las interfaces de red del punto de enlace. Por ejemplo:

aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name \
   com.amazonaws.us-east-1.lambda --subnet-id subnet-abababab --security-group-id sg-1a2b3c4d      
    

Creación de una política de punto de enlace de interfaz para Lambda

Para controlar quién puede usar en punto de enlace de la interfaz y a qué funciones de Lambda tiene acceso el usuario, puede asociar una política al punto de enlace. La política especifica la siguiente información:

• La entidad principal que puede realizar acciones.

• Acciones que la entidad principal puede realizar.

• Recursos en los que la entidad principal puede realizar acciones.

Para más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.

Ejemplo: Política de puntos de enlace de tipo interfaz para acciones de Lambda

A continuación, se muestra un ejemplo de una política de puntos de enlace de Lambda. Cuando la política se asocia a un punto de enlace, permite que el usuario MyUser invoque la función my-function.

nota

Debe incluir el ARN completo e incompleto de la función en el recurso.

{
   "Statement":[
      {
         "Principal":
         { 
             "AWS": "arn:aws:iam::111122223333:user/MyUser" 
         },
         "Effect":"Allow",
         "Action":[
            "lambda:InvokeFunction"
         ],
         "Resource": [
               "arn:aws:lambda:us-east-2:123456789012:function:my-function",
               "arn:aws:lambda:us-east-2:123456789012:function:my-function:*"
            ]
      }
   ]
}