Lambda

Acción del presupuesto de AWS para la función Lambda

Hola amigos,espero que estén bien y seguros y también espero que esta pregunta no sea una pregunta ya hecha.

Vengo a pediros una breve explicación sobre cómo puedo dejar de llamar a la función Lambda cuando se sobrepasa una alerta presupuestaria (tanto la real como la prevista).Intentaré explicarme mejor:Quiero evitar una situación en la que,por un error en el entorno de desarrollo,el sistema llame muchas veces a una función Lambda.He configurado 3 alertas,pero quiero añadir una acción que haga inactiva/sin respuesta la llamada a la función Lambda.¿Hay alguna forma de conseguir este comportamiento?

Best regards.

Hola, AWS Budget Actions es lo que está buscando. Entonces, además de una notificación, puede permitir que Budget Actions aplique una política de IAM en su cuenta para bloquear la ejecución de algo. es decir, elimine el permiso del uso de Lambda a través de un SCP que se agrega a sus cuentas: https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-controls.html#budgets-action-role

También puede aplicarlo al propio Lambda si lo crea, esto podría usarse para aplicar una política de IAM a su Lambda que niega los permisos de invocación. Aquí hay información sobre las políticas de Lambda. https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.Authorizing.IAM.LambdaCreatePolicy.html




Good question.

Esto podría hacerse a través de las acciones presupuestarias.

Rob_H tiene algunas buenas recomendaciones.Tenlo en cuenta:

  • Las SCP (políticas de control de servicios)requerirían el uso de las organizaciones de AWS y la familiaridad con el funcionamiento de las SCP y su aplicación a las cuentas.Eso también requeriría el acceso a las organizaciones de su empresa y a la gestión de SCP (que podría ser compleja).
  • Podrías aplicar una política de IAM que no requiriera de Organizaciones de AWS,pero esto tendría que aplicarse desde donde se está invocando la Lambda.Para ello,simplemente podrías aplicar una política de denegación adicional a tus usuarios y/o roles de desarrollador-pero ten en cuenta que no quieres que los desarrolladores puedan desvincular/recuperar la política.
  • Otra política de IAM podría ser aplicar una denegación amplia al rol de ejecución de Lambda (esto funciona mejor si Lambda está dentro de una VPC) y no se activaría por falta de permisos de red ( https://docs.aws.amazon. com/lambda/latest/dg/lambda-intro-execution-role.html ). Esto no sería ideal ya que la lambda se activaría y fallaría de inmediato.