¿Por qué Security Hub activó el hallazgo “Las políticas de la función de Lambda deben prohibir el acceso público”?

2 minutos de lectura
0

AWS Security Hub contiene un tipo de hallazgo similar al siguiente: “[Lambda.1] Las políticas de la función de Lambda deben prohibir el acceso público” ¿Cómo se puede corregir este tipo de hallazgo?

Descripción breve

Se produce un error en la respuesta de control si la función de AWS Lambda es:

  • Accesible al público.
  • Invocada a partir de Amazon Simple Storage Service (Amazon S3) y la política no incluye una condición para AWS:SourceAccount.

Resolución

Realice una de las siguientes acciones:

Actualice la política para eliminar los permisos que permiten el acceso público.

o

Agregue la condición AWS:SourceAccount a la política.

Nota:

Siga las instrucciones para ver la política basada en recursos de una función mediante la consola de Lambda. En función del caso de uso, puede eliminar o actualizar los permisos de la función de Lambda.

Para eliminar los permisos de la función de Lambda, ejecute el comando de AWS CLI remove-permission de forma similar a la siguiente:

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

Para actualizar los permisos de la función de Lambda, rija el comando de AWS CLI add-permission de forma similar a la siguiente:

$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>

Para verificar que los permisos se han eliminado o actualizado, repita las instrucciones para ver la política basada en recursos de una función mediante la consola de Lambda.

La política basada en recursos se debe actualizar ahora.

Nota: Si solo había una instrucción en la política, la política está vacía.

Para obtener más información, consulte Controles de las prácticas recomendadas de seguridad básica de AWS.


Información relacionada

lambda-function-public-access-prohibited

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 3 años