<h2 id="vpc-lambda%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF">
<a class="header-anchor-link" href="#vpc-lambda%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF" aria-hidden="true"></a> VPC Lambdaの仕組み</h2>
AWS Lambdaでは、Lambda関数がVPC内のリソースにアクセスできるよう設定することができます。この機能を有効にすると、Lambda関数の実行時にENIがVPC内に自動で作成されます。
<img src="https://res.cloudinary.com/zenn/image/fetch/s--9yknJ1Dc--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/636e127c7edd493bf02c6d9d.png%3Fsha%3D60ae05ca42d9031eec8fe686b62e9ccf8d385b5b" alt="VPC Lambdaのアーキテクチャ" loading="lazy" class="md-img"> 
<a href="https://aws.amazon.com/jp/blogs/news/announcing-improved-vpc-networking-for-aws-lambda-functions/" target="_blank" rel="nofollow noopener noreferrer">[発表] Lambda 関数が VPC 環境で改善されます | Amazon Web Services ブログ</a> より引用
そのため、この機能を使用するには、関数の実行ロールに以下のアクセスポリシーを追加するか、同等のAWS管理ポリシー<a href="https://docs.aws.amazon.com/ja_jp/aws-managed-policy/latest/reference/AWSLambdaVPCAccessExecutionRole.html" target="_blank" rel="nofollow noopener noreferrer"><code>AWSLambdaVPCAccessExecutionRole</code></a>を追加しなければならないとAWS公式ドキュメントに書かれています。
<div class="code-block-container"><pre class="language-json"><code class="language-json">{
 "Effect" : "Allow",
 "Action" : [
 "ec2:CreateNetworkInterface",
 "ec2:DescribeNetworkInterfaces",
 "ec2:DescribeSubnets",
 "ec2:DeleteNetworkInterface",
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource" : "*"
}
</code></pre></div><iframe id="zenn-embedded__777346e07a40c" src="https://embed.zenn.studio/card#zenn-embedded__777346e07a40c" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Flambda%2Flatest%2Fdg%2Fconfiguration-vpc.html%23configuration-vpc-permissions" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#configuration-vpc-permissions" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#configuration-vpc-permissions</a>
<h2 id="%E5%95%8F%E9%A1%8C%E7%82%B9">
<a class="header-anchor-link" href="#%E5%95%8F%E9%A1%8C%E7%82%B9" aria-hidden="true"></a> 問題点</h2>
上記のポリシーにはセキュリティ上の懸念があります。関数の実行ロールに上記のアクセスポリシーを追加するということは、Lambda関数が上記の操作を自由に行えるということです。 
すなわち、Lambda関数のコードからENIの作成や削除、プライベートIPの付け替えが自由にできるようになってしまいます。これは最小権限の原則の観点から望ましくないでしょう。
<h2 id="%E8%A7%A3%E6%B1%BA%E7%AD%96">
<a class="header-anchor-link" href="#%E8%A7%A3%E6%B1%BA%E7%AD%96" aria-hidden="true"></a> 解決策</h2>
以下のポリシーを設定すると、LambdaサービスにのみENIの作成を許可し、Lambda関数のコードにはそのような操作を許可しない、というアクセス許可が実現できます。
<div class="code-block-container"><pre class="language-json"><code class="language-json">{
 "Effect" : "Allow",
 "Action" : [
 "ec2:CreateNetworkInterface",
 "ec2:DescribeNetworkInterfaces",
 "ec2:DescribeSubnets",
 "ec2:DeleteNetworkInterface",
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource" : "*",
 "Condition": {
 "Null": {
 "lambda:SourceFunctionArn": "true"
 }
 }
}
</code></pre></div>このポリシーではIAM条件キー<code>lambda:SourceFunctionArn</code>を使用しています。 
Lambda関数の実行環境からAWS APIにリクエストを送信すると、関数のARNが<code>lambda:SourceFunctionArn</code>としてコンテキストに挿入されます。一方でLambdaサービスがENIの作成を行う際には<code>lambda:SourceFunctionArn</code>はセットされません。この挙動は以下のページに明記されています。
<iframe id="zenn-embedded__ecda2ff99912a" src="https://embed.zenn.studio/card#zenn-embedded__ecda2ff99912a" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2Flambda%2Flatest%2Fdg%2Fpermissions-source-function-arn.html" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/permissions-source-function-arn.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/permissions-source-function-arn.html</a>
上記のポリシーではこの仕様を利用し、<code>lambda:SourceFunctionArn</code>がセットされていない場合のみENIの作成を許可しています。
<h2 id="%E5%8F%82%E8%80%83">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83" aria-hidden="true"></a> 参考</h2>
この記事は、以下の公式ドキュメントの節「Security best practices」の内容に沿っています。
<iframe id="zenn-embedded__4d2275ad16a2b" src="https://embed.zenn.studio/card#zenn-embedded__4d2275ad16a2b" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Flambda%2Flatest%2Fdg%2Fconfiguration-vpc.html%23configuration-vpc-best-practice" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#configuration-vpc-best-practice" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#configuration-vpc-best-practice</a>

VPC Lambdaのセキュリティベストプラクティス

Discussion