不幸的是,您将无法做到这一点(请参阅下面的更新)。
s3 是通过以下方式提供这种控制访问的服务桶策略.
您可以做的就是向调用者授予权限(Lambda 调用者和 API 调用者).
看看这些资源:
- 使用 IAM 权限控制对 API 的访问 https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html
- 控制API调用的访问权限 https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-control-access-using-iam-policies-to-invoke-api.html
- 管理对 AWS Lambda 资源的访问权限概述 https://docs.aws.amazon.com/lambda/latest/dg/access-control-overview.html
UPDATE:重要评论来自迈克尔 - sqlbot https://stackoverflow.com/users/1695906/michael-sqlbot
您可能会指出,这不可能的根本原因是 Lambda 服务 API 和 API Gateway 都是从 Internet 访问的,这意味着调用者的 VPC 身份会丢失 - 然而,可以间接识别 VPC通过其 NAT 网关的 EIP,这应该可用于对抗aws:sourceIp IAM 策略条件键 https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html,间接限制对这些 EIP 背后的任何机器的访问,因此仅限于 VPC 中。也许这是一个黑客,也许这是一个解决方法。
更新 11/08/2018
推出 Amazon API Gateway 私有终端节点 https://aws.amazon.com/es/blogs/compute/introducing-amazon-api-gateway-private-endpoints/
当今应用程序开发的最大趋势之一是使用 API 来支持支持产品的后端技术。移动、物联网、Web 应用程序或内部服务相互通信以及与应用程序前端通信的方式越来越多地使用某些 API 接口。
除了这种构建 API 支持的应用程序的趋势之外,还出现了向微服务应用程序设计模式的转变。较大的应用程序由许多较小的应用程序组件表示,通常也通过 API 进行通信。从初创公司到大型企业,各种公司都推动了 API 和微服务一起使用的增长。以最小的运营开销大规模、安全地管理 API 所需的工具数量也在不断增加。
今天,我们很高兴地宣布推出 Amazon API Gateway 专用终端节点。这是该服务最受需求的功能之一。我们相信这将使创建和管理私有 API 变得更加容易。
私有端点
今天的发布解决了这个难题中缺失的部分之一,即能够在您自己的 VPC 内拥有私有 API 端点。借助此新功能,您仍然可以使用 API 网关功能,同时仅向 VPC 内的其他服务和资源或通过 Direct Connect 连接到您自己的数据中心的其他服务和资源安全地公开 REST API。
这是它的工作原理。
API 网关专用终端节点可通过 AWS PrivateLink 接口 VPC 终端节点实现。接口终端节点通过在您在 VPC 内定义的子网中创建弹性网络接口来工作。然后,这些网络接口提供对其他 VPC 中运行的服务或 API Gateway 等 AWS 服务的访问。配置接口端点时,您可以指定哪些服务流量应通过它们。使用私有 DNS 时,流向该服务的所有流量都将定向到接口端点,而不是通过默认路由,例如通过 NAT 网关或公共 IP 地址。
API Gateway 作为完全托管的服务在自己的 VPC 中运行其基础设施。当您与 API Gateway 可公开访问的端点交互时,这是通过公共网络完成的。当它们配置为专用网络时,公共网络将无法用于路由您的 API。相反,您的 API 只能使用您配置的接口端点来访问。
