amazon-web-services - 从另一个 vpc(帐户 B)中的 lambda 访问位于 vpc(帐户 A)中的 redshift

Question

账户-B:
在具有 4 个安全组的 vpc(vpc-B) 中包含 RDS。
我为账户 A 创建了承担角色
具有以下政策:

[![在此处输入图像描述][1]][1]

[![在此处输入图像描述][2]][2]

在账户-A 中:

我创建了 lambda 函数来获得与 redshift 的连接(我在同一帐户和 vpc 中测试了来自 lambda 的这段代码，然后我工作得很好，即编码部分没有错)在 acccount-A(在 vpc-A 中)和这个 lambda 函数保存在 2 个私有(private)子网中，并将 igw 附加到 vpc，并且具有 igw-ip 和 nat-gateway-ip 映射的路由表已正确完成。(大多数 vpc 对等部分是完美的(还包括安全组入站和出站规则)

此功能与角色相关:

[![在此处输入图像描述][3]][3]

这里在帐户-A 中测试 lambda 函数给出以下内容
错误:超时错误

有什么建议么？

谢谢

Answer 1

这是因为有问题的 Redshift 集群位于公共(public)子网中，且可公开访问设置为 true。

为了解析连接到 Redshift 集群的 Lambda 函数，Redshift 安全组添加了一个入站规则，允许 Lambda 子网的 NAT 网关的弹性 IP 地址能够连接。

作为一项改进建议，可以将 Redshift 集群移动到私有(private)子网中，并在已设置的对等连接之外建立连接。