Lambda

Действие бюджета AWS для функции Lambda

Здравствуйте,друзья,надеюсь,что у вас все хорошо и благополучно,а также надеюсь,что этот вопрос не будет уже заданным.

Я здесь,чтобы попросить вас кратко объяснить,как я могу остановить вызов функции Lambda,когда бюджетное предупреждение (как фактическое,так и прогнозируемое)превышено? Я постараюсь объяснить лучше сам:Я хочу избежать ситуации,когда из-за ошибки в Development env система много раз вызывает Lambda-функцию.Я настроил 3 оповещения,но я хочу добавить действие,которое бы делало неактивным/не реагирующим вызов функции Lambda.Есть ли способ добиться такого поведения?

Best regards.





Здравствуйте! Бюджетные действия AWS — это то, что вам нужно. Таким образом, в дополнение к уведомлению вы можете разрешить бюджетным действиям применять политику IAM в вашей учетной записи, чтобы заблокировать запуск чего-либо. т.е. удалить разрешение на использование Lambda через добавление SCP к вашим учетным записям: https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-controls.html#budgets-action-role

Вы также можете применить его к самой Lambda, если вы создадите для него сценарий, это можно использовать для применения политики IAM к вашей Lambda, которая запрещает разрешения на вызов. Вот некоторая информация о политиках Lambda. https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.Authorizing.IAM.LambdaCreatePolicy.html




Good question.

Это можно сделать с помощью бюджетных действий.

У Rob_H есть несколько хороших рекомендаций.Имейте в виду:

  • SCP (Service Control Policies)потребуют использования организаций AWS и знакомства с тем,как SCP работают/применяются к учетным записям.Это также потребует доступа к организациям вашей компании и управления SCP (что может быть сложным).
  • Вы можете применить IAM-политику,которая не требует наличия организаций AWS,но она должна применяться везде,откуда вызывается Lambda.Для этого вы можете просто применить дополнительную политику запрета к пользователям (пользователям)и/или ролям разработчиков-но имейте в виду,что вы не хотите,чтобы разработчики могли отсоединить/отменить политику.
  • Другая IAM-политика может состоять в том, чтобы применить широкий запрет к роли выполнения Lambda (это лучше всего работает, если Lambda находится в VPC), и она не сможет раскрутиться из-за отсутствия сетевых разрешений ( https://docs.aws.amazon. com/lambda/latest/dg/lambda-intro-execution-role.html ). Это было бы не идеально, так как лямбда запустится и сразу же выйдет из строя.


Развертывание функции Lambda и шлюза API REST
Как долго экземпляр лямбды может сохранять "тепло