lambdaから、DocumentDBへのアクセスを行うような場合、
lambdaに当てるべきセキュリティグループのルールが何かAWSに問い合わせて確認した。(AWSコンソールの操作上だとあまり意識しないが、実際には、VPC内にENI(ネットワークインターフェース)が作成されて、そこにセキュリティグループが割り当たる動作となる。)
結果以下で、OK!
対象:lambdaのセキュリティグループ
・インバウンドルール
なし
・アウトバウンドルール
ポート すべて
送信先 0.0.0.0/0
なお、接続先のDocumentDBには、VPC全体のCIDRや、lambda(ENI)のサブネットに対して、TCP:27017を開放するなどして、lambdaのENIからDocumentDBへの接続が可能なようにする必要がある。
ただし、一般的には、上記lambdaに割り当てるセキュリティグループと同じセキュリティグループを接続先であるDocumentDBに割り当てて、DocumentDBには、該当のセキュリティグループから27017ポートが通るようにする方がセキュリティ的に良いと思われる。
参考)
https://repost.aws/ja/knowledge-center/connect-lambda-to-an-rds-instance
https://docs.aws.amazon.com/documentdb/latest/developerguide/troubleshooting.connecting.html
