Menggunakan sistem file Amazon EFS di lain Akun AWS untuk fungsi Lambda - AWS Lambda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan sistem file Amazon EFS di lain Akun AWS untuk fungsi Lambda

Anda dapat mengonfigurasi fungsi untuk memasang sistem file Amazon EFS di sistem lain Akun AWS. Sebelum Anda me-mount sistem file, Anda harus memastikan yang berikut:

  • Peering VPC harus dikonfigurasi, dan rute yang sesuai harus ditambahkan ke tabel rute di setiap VPC.

  • Grup keamanan untuk sistem file Amazon EFS yang ingin Anda pasang harus dikonfigurasi untuk mengizinkan akses masuk dari grup keamanan yang terkait dengan fungsi Lambda Anda.

  • Subnet harus dibuat di setiap VPC dengan ID Availability Zone (AZ) yang cocok.

  • Nama Host DNS harus diaktifkan di kedua VPC.

Agar fungsi Lambda Anda dapat mengakses sistem file Amazon EFS di sistem lain Akun AWS, sistem file itu juga harus memiliki kebijakan sistem file yang memberikan izin ke funtion Anda. Untuk mempelajari cara membuat kebijakan sistem file, lihat Membuat kebijakan sistem file di Panduan Pengguna Amazon Elastic File System.

Berikut ini menunjukkan contoh kebijakan yang memberikan fungsi Lambda dalam izin akun tertentu untuk melakukan semua tindakan API pada sistem file.

{
    "Version": "2012-10-17",
    "Id": "efs-lambda-policy",
    "Statement": [
        {
            "Sid": "efs-lambda-statement",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{LAMBDA-ACCOUNT-ID}:root"
            },
            "Action": "*",
            "Resource": "arn:aws:elasticfilesystem:{REGION}:{ACCOUNT-ID}:file-system/{FILE SYSTEM ID}"
        }
    ]
}
catatan

Kebijakan contoh yang ditampilkan menggunakan charcter wildcard (“*”) untuk memberikan izin bagi fungsi Lambda dalam Akun AWS spesifikasi untuk menjalankan operasi API apa pun pada sistem file. Ini termasuk menghapus sistem file. Untuk membatasi operasi yang Akun AWS dapat dilakukan orang lain pada sistem file Anda, tentukan tindakan yang ingin Anda izinkan secara eksplisit. Untuk daftar kemungkinan operasi API, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon Elastic File System.

Untuk mengonfigurasi pemasangan sistem file lintas akun, Anda menggunakan update-function-configuration operasi AWS Command Line Interface (AWS CLI).

Untuk me-mount sistem file di lain Akun AWS, jalankan perintah berikut. Gunakan nama fungsi Anda sendiri dan ganti Amazon Resource Name (ARN) dengan ARN dari jalur akses Amazon EFS untuk sistem file yang ingin Anda pasang. LocalMountPathadalah jalur di mana fungsi dapat mengakses sistem file, dimulai dengan/mnt/. Pastikan bahwa jalur pemasangan Lambda cocok dengan jalur titik akses untuk sistem file. Misalnya, jika jalur aksesnya/efs, jalur pemasangan Lambda harus. /mnt/efs

aws lambda update-function-configuration --function-name MyFunction \
--file-system-configs Arn=arn:aws:elasticfilesystem:us-east-1:222222222222:access-point/fsap-01234567,LocalMountPath=/mnt/test