您能否仅依靠安全组来安全地限制对可公开访问的RDS的访问？

我在设置RDS和lambda时试图在便利性/成本与安全性之间取得平衡。我的最终目标是在保持安全的同时，使架构尽可能简单和便宜。

我有几个基本要求，让我很头疼，想在不显着增加成本和复杂性的情况下平衡我的选择：

1. （某些）Lambdas需要访问互联网
2. 我想（有时）直接访问数据库

我可以在公用子网中的堡垒主机，私有lambda，具有Internet访问权限的lambda和RDS都位于单独的私有子网和安全组中，并使用NAT网关与lambda进行通信，从而走出“最佳实践”路线。这会增加大量成本，并带有NAT网关和堡垒主机的移动部件。

作为（希望）大于安全损失的成本和复杂性的“逐步降低”，我正在考虑以下事项：

1. 将所有lambda放入私有子网中。对于需要访问Internet的Lambda，他们可以直接调用位于VPC外部的单独Lambda，以访问公共Internet。我可以做一些简单的事情，在这里等待响应时不花2倍的空闲时间吗？
2. 为了解决堡垒主机，我尝试将RDS放在公共子网中并将其设置为“公共可访问”，但仍仅允许来自私有Lambda安全组的进入。然后，我可以将我的IP添加到安全组中，并且仅将外部入口限制为我的IP。如果仅在实际需要时允许我的特定IP，我是否可以单独信任安全组才能在这里足够安全？还是您实际上还需要使用专用子网来获得安全性的希望？

我在任何地方都没有真正看到这个建议，这就是为什么我在这里问-我缺少什么使这成为一个可怕的想法？

我在设置RDS和lambda时试图在便利性/成本与安全性之间取得平衡。我的最终目标是在保持安全的同时，使架构尽可能简单和便宜。我有一个...