Warum hat Security Hub die Erkenntnis „Lambda function policies should prohibit public access“ (Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten) initiiert?

Lesedauer: 2 Minute

Ich habe von AWS Security Hub CSPM die Erkenntnis „[Lambda.1] Lambda function policies should prohibit public access“ ([Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten) für meine AWS-Lambda-Funktion erhalten.

Kurzbeschreibung

Security Hub enthält einen Erkenntnistyp, der dem folgenden ähnelt:

"[Lambda.1] Lambda function policies should prohibit public access" ([Lambda.1] Die Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten)

Diese Reaktion des Steuerelements schlägt aus den folgenden Gründen fehl:

Die Lambda-Funktion ist öffentlich zugänglich.
Du rufst die Lambda-Funktion von Amazon Simple Storage Service (Amazon S3) auf, und die Richtlinie enthält keine Bedingung für AWS:SourceAccount.

Lösung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Um die ressourcenbasierte Richtlinie zu aktualisieren, musst du die AWS CLI verwenden. Je nach Anwendungsfall kannst du die Berechtigungen für die Lambda-Funktion entfernen oder aktualisieren.

Berechtigungen aus der Lambda-Funktion entfernen

Um Berechtigungen aus der Lambda-Funktion zu entfernen, führe den folgenden AWS-CLI-Befehl remove-permission aus:

aws lambda remove-permission --function-name your-function-name --statement-id your-statement-id

Hinweis: Ersetze your-function-name durch den Namen deiner Lambda-Funktion. Ersetze your-statement-id durch deine Anweisungs-ID.

Berechtigungen für die Lambda-Funktion aktualisieren

Um die Berechtigungen für die Lambda-Funktion zu aktualisieren, führe den folgenden AWS-CLI-Befehl add-permission aus:

aws lambda add-permission --function-name your-function-name --statement-id your-new-statement-id --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account your-account-id --source-arn your-bucket-arn

Hinweis: Ersetze your-function-name durch den Namen deiner Lambda-Funktion. Ersetze your-new-statement-id durch deine neue Anweisungs-ID. Ersetze your-account-id durch deine AWS-Konto-ID. Ersetze your-bucket-arn durch deinen Amazon-S3-Bucket-ARN.

Die Berechtigungen überprüfen

Um zu überprüfen, ob die Berechtigungen entfernt oder aktualisiert wurden, wiederhole die Anleitung zur Anzeige der ressourcenbasierten Richtlinie einer Funktion.

Hinweis: Wenn die Richtlinie nur eine Anweisung enthält, ist die Richtlinie leer.

Weitere Informationen findest du unter Steuerelementreferenz für Security Hub CSPM.

Relevanter Inhalt

Wie kann ich Security Hub verwenden, um Sicherheitsprobleme für meine AWS-Umgebung zu überwachen?
AWS OFFICIALAktualisiert vor 5 Monaten
Wie wirken sich die konsolidierten Steuerelementansicht und die konsolidierten Steuerelementerkenntnisse auf meine Workflows aus?
AWS OFFICIALAktualisiert vor 5 Monaten
Wie kann ich die Erkenntnisse für die Sicherheitsgruppenrichtlinien in Firewall Manager mithilfe von Security Hub überprüfen?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie verwende ich EventBridge mit einem Amazon-SNS-Thema, um benutzerdefinierte E-Mail-Benachrichtigungen für Security-Hub-Erkenntnisse einzurichten?
AWS OFFICIALAktualisiert vor 4 Monaten