Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

为什么 ARNlike 条件不足以抑制"Lambda function policies should prohibit public access"警告?

0

【以下的问题经过翻译处理】 你好, 我有一个带有以下格式策略的lambda函数:

      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:<lambda-arn>",
      "Condition": {
        "ArnLike": {
          "AWS:SourceArn": "arn:aws:s3:::<s3-arn>"
        }

在安全中心中,我针对相同的lambda函数有以下关键警告: ‘’‘ Lambda.1 Lambda function policies should prohibit public access ’‘’

经我的理解,此发现希望我也添加“AWS:SourceAccount”帐户条件。但是我的观点是,考虑到我拥有s3存储桶,只有我的存储桶可以调用此lambda函数。如果我始终拥有此存储桶,则安全性与添加源帐户条件一样高。

我的问题是,从安全的角度来看,我是否安全地禁止此警告并继续工作,还是我忽略了某些内容?

谢谢。

Themen
SpeicherServerlosKalkulationSicherheit, Identität & KonformitätAWS Framework mit guter Struktur
Tags
Amazon Simple Storage ServiceAWS LambdaAWS Identity and Access ManagementAWS Sicherheits-HubSicherheit
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten64 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 是的,我认为如果您始终拥有您所认识的在“AWS:SourceArn”中指定的 S3,则不太可能发生意外访问。 但是,如果 S3 被错误删除,无关的第三方将能够创建与“AWS:SourceArn”中指定的 S3 相同的 S3。 我认为在出现这种情况时设置“AWS:SourceAccount”很有用。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt