Mengonfigurasi akses sistem file untuk fungsi Lambda

Anda dapat mengonfigurasikan fungsi untuk memasang sistem file Amazon Elastic File System (Amazon EFS) ke direktori lokal. Dengan Amazon EFS, kode fungsi Anda dapat mengakses dan memodifikasi sumber daya bersama dengan aman dan dengan konkurensi tinggi.

Bagian-bagian

• Peran eksekusi dan izin pengguna
• Mengonfigurasi sistem file dan titik akses
• Menyambung ke sistem file (konsol)
• Menggunakan sistem file Amazon EFS di lain Akun AWS untuk fungsi Lambda

Peran eksekusi dan izin pengguna

Jika sistem file tidak memiliki kebijakan yang dikonfigurasi pengguna AWS Identity and Access Management (IAM), EFS menggunakan kebijakan default yang memberikan akses penuh ke klien mana pun yang dapat terhubung ke sistem file menggunakan target pemasangan sistem file. Jika sistem file memiliki kebijakan IAM yang dikonfigurasi pengguna, peran eksekusi fungsi Anda harus memiliki izin yang benar. elasticfilesystem

Izin peran eksekusi

• sistem file elastis: ClientMount

• elasticfilesystem: ClientWrite (tidak diperlukan untuk koneksi hanya-baca)

Izin ini disertakan dalam kebijakan AmazonElasticFileSystemClientReadWriteAccessterkelola. Selain itu, peran eksekusi Anda harus memiliki izin yang diperlukan untuk terhubung ke VPC sistem file.

Saat Anda mengonfigurasi sistem file, Lambda menggunakan izin Anda untuk memverifikasi target pemasangan. Untuk mengonfigurasi fungsi untuk terhubung ke sistem file, pengguna Anda memerlukan izin berikut:

Izin pengguna

• elasticfilesystem: Target DescribeMount

Mengonfigurasi sistem file dan titik akses

Buat sistem file di Amazon EFS dengan target pemasangan di setiap Availability Zone yang tehubung dengan fungsi Anda. Untuk performa dan ketahanan, gunakan setidaknya dua Availability Zone. Misalnya, dalam konfigurasi sederhana, Anda dapat memiliki VPC dengan dua subnet privat di Availability Zone yang berbeda. Fungsi ini terhubung ke subnet dan target pemasangan tersedia pada masing-masing subnet. Pastikan lalu lintas NFS (port 2049) diizinkan oleh grup keamanan yang digunakan oleh fungsi dan target pemasangan.

catatan

Saat Anda membuat sistem file, Anda memilih mode performa yang tidak dapat diubah lagi nantinya. Tujuan umum mode ini memiliki latensi lebih rendah, dan mode Maks I/O mendukung throughput maksimum dan IOPS yang lebih tinggi. Untuk bantuan saat memilih, lihat Performa Amazon EFS dalam Panduan Pengguna Amazon Elastic File System.

Titik akses menghubungkan setiap instans fungsi ke target pemasangan yang tepat untuk Availability Zone yang terhubung dengannya. Untuk performa terbaik, buat titik akses dengan alur non-akar, dan batasi jumlah file yang Anda buat di setiap direktori. Contoh berikut membuat direktori bernama my-function pada sistem file dan menetapkan ID pemilik menjadi 1001 dengan izin direktori standar (755).

contoh konfigurasi titik akses

• Nama – files

• ID Pengguna – 1001

• ID Grup – 1001

• Jalur – /my-function

• Izin – 755

• ID pengguna pemilik – 1001

• ID pengguna grup – 1001

Saat fungsi menggunakan titik akses, fungsi diberikan ID pengguna 1001 dan memiliki akses penuh ke direktori.

Untuk informasi selengkapnya, lihat topik berikut di Panduan Pengguna Amazon Elastic File System:

• Membuat sumber daya untuk Amazon EFS

• Bekerja dengan pengguna, grup, dan izin

Menyambung ke sistem file (konsol)

Fungsi terhubung ke sistem file melalui jaringan lokal di VPC. Subnet yang terhubung ke fungsi Anda dapat berupa subnet yang sama yang berisi titik pemasangan untuk sistem file Anda, atau subnet di Availability Zone yang sama yang dapat mengarahkan lalu lintas NFS (port 2049) ke sistem file.

catatan

Jika fungsi Anda belum terhubung ke VPC, lihat Memberikan fungsi Lambda akses ke sumber daya di VPC Amazon.

Untuk mengonfigurasi akses sistem file

1. Buka Halaman fungsi di konsol Lambda.

2. Pilih fungsi.

3. Pilih Konfigurasi, lalu pilihSistem file.

4. Di bagian Sistem file, pilih Tambahkan sistem file.

5. Konfigurasikan properti berikut:

   • Sistem file EFS – Titik akses untuk sistem file dalam VPC yang sama.

   • Jalur pemasangan lokal – Lokasi tempat sistem file dipasang pada fungsi Lambda, memulai dengan /mnt/.

Harga

Amazon EFS mengenakan biaya untuk penyimpanan dan throughput, dengan harga yang berbeda-beda menurut kelas penyimpanan. Untuk detailnya, lihat Harga Amazon EFS.

Lambda mengenakan biaya untuk transfer data di antara VPC. Ini hanya berlaku jika VPC fungsi Anda dihubungkan ke VPC lain dengan sistem file. Harganya sama dengan transfer data Amazon EC2 di antara VPC pada Wilayah yang sama. Untuk detailnya, lihat Harga Lambda.

Untuk informasi selengkapnya tentang integrasi Lambda dengan Amazon EFS, lihat Menggunakan Amazon EFS dengan Lambda.