Team B: Lambda 도구 구현

분석 대상

Lambda 함수	코드 크기	핵심 기능
lambda-dns	526줄	DNS 해석 (Route53 → EC2/ENI)
lambda-connectivity	828줄	VPC Reachability Analyzer
lambda-cloudwatch	741줄	CloudWatch 알람/메트릭/로그

dns-resolve Lambda

핵심 로직: Route53 Private Hosted Zone 조회

def resolve_dns_from_route53(hostname, region="us-east-1"):
    """
    DNS 해석 흐름:
    1. Route53 Private Hosted Zone 목록 조회
    2. 호스트명과 일치하는 Zone 찾기
    3. DNS 레코드 조회 (A, CNAME)
    4. CNAME이면 재귀적으로 체인 추적
    5. 최종 IP 주소 반환
    """
    route53 = boto3.client('route53')
    hosted_zones = route53.list_hosted_zones_by_name()

    for zone in hosted_zones['HostedZones']:
        if zone['Config']['PrivateZone']:
            records = route53.list_resource_record_sets(
                HostedZoneId=zone['Id'],
                StartRecordName=hostname,
                StartRecordType='A'
            )
            # CNAME 체인 추적
            # A 레코드의 IP 주소 반환

IP → AWS 리소스 매핑

def find_aws_resources_by_ip(ip_address, region="us-east-1"):
    """IP 주소를 EC2 인스턴스, ENI, RDS로 역매핑"""
    ec2 = boto3.client('ec2')

    # 1. EC2 인스턴스 검색
    instances = ec2.describe_instances(
        Filters=[{'Name': 'private-ip-address', 'Values': [ip_address]}]
    )

    # 2. ENI 검색
    enis = ec2.describe_network_interfaces(
        Filters=[{'Name': 'addresses.private-ip-address', 'Values': [ip_address]}]
    )

    # 3. RDS 인스턴스 검색 (Endpoint 매칭)

connectivity Lambda

VPC Reachability Analyzer

def run_vpc_reachability_analysis(source, destination, protocol, port):
    """
    분석 흐름:
    1. Network Insights Path 생성 (source → destination)
    2. Network Insights Analysis 시작
    3. 분석 결과에서 차단 지점 식별
    4. 차단 코드 해석 (예: ENI_SG_RULES_MISMATCH)
    """
    ec2 = boto3.client('ec2')

    # Path 생성
    path = ec2.create_network_insights_path(
        Source=source,
        Destination=destination,
        Protocol=protocol,
        DestinationPort=int(port)
    )

    # 분석 실행 (비동기 → 폴링)
    analysis = ec2.start_network_insights_analysis(
        NetworkInsightsPathId=path['NetworkInsightsPath']['NetworkInsightsPathId']
    )
    # 결과 폴링 → NetworkPathFound: True/False

보안 그룹 수정 (최소 권한)

def apply_connectivity_fix(source, destination, protocol, port):
    """최소 권한 원칙으로 보안 그룹 규칙 추가"""
    # 1. 대상 리소스의 보안 그룹 식별
    # 2. 소스 보안 그룹 ID를 참조하는 인바운드 규칙 추가
    ec2.authorize_security_group_ingress(
        GroupId=target_sg_id,
        IpPermissions=[{
            'IpProtocol': protocol.lower(),
            'FromPort': port,
            'ToPort': port,
            'UserIdGroupPairs': [{'GroupId': source_sg_id}]
        }]
    )

cloudwatch-monitoring Lambda

7가지 operation 라우팅

def lambda_handler(event, context):
    operation = event.get('operation')

    handlers = {
        'describe_alarms': describe_alarms,
        'get_metric_data': get_metric_data,
        'query_logs': query_logs,
        'list_log_groups': list_log_groups,
        'get_log_events': get_log_events,
        'create_alarm': create_alarm,
        'delete_alarm': delete_alarm,
    }
    return handlers[operation](event)

VPC Flow Logs 쿼리 (호스트명 → ENI 변환)

def query_vpc_flow_logs(hostname, region="us-east-1"):
    """호스트명을 ENI ID로 변환 후 Flow Logs 쿼리"""
    # 1. resolve_hostname_to_eni()로 호스트명 → ENI ID 변환
    # 2. CloudWatch Logs Insights로 VPC Flow Logs 쿼리
    # 3. ACCEPT/REJECT 트래픽 패턴 분석

공통 패턴: lambda_handler → extract_tool_name → 핸들러

# 세 Lambda 함수 모두 동일한 패턴
def lambda_handler(event, context):
    tool_name = extract_tool_name(event)  # MCP 도구명 추출
    return tool_handlers[tool_name](event)  # 해당 핸들러 실행

토론 질문

1. CNAME 체인이 순환 참조될 때 어떻게 되나요?

2. VPC Reachability Analyzer의 분석 결과가 나올 때까지 Lambda 함수가 기다리는 방법은?

3. apply_connectivity_fix가 "최소 권한"을 보장하는 방법은?