


 Descripción breve
------------------



Se produce un error en la respuesta de control si la función de AWS Lambda es:


* Accesible al público.
* Invocada a partir de Amazon Simple Storage Service (Amazon S3) y la política no incluye una condición para [AWS:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount).



 Resolución
-----------



Realice una de las siguientes acciones:


Actualice la política para eliminar los permisos que permiten el acceso público.


o


Agregue la condición [AWS:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) a la política.  
 


**Nota:**


* Para actualizar la política basada en recursos, debe utilizar la interfaz de la línea de comandos de AWS (AWS CLI).
* Si se producen errores al ejecutar los comandos de AWS CLI, [asegúrese de que utiliza la versión más reciente de AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html).


Siga las instrucciones para [ver la política basada en recursos de una función](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) mediante la [consola de Lambda](https://console.aws.amazon.com/lambda/home#/functions). En función del caso de uso, puede eliminar o actualizar los permisos de la función de Lambda.  
 


Para eliminar los permisos de la función de Lambda, ejecute el comando de AWS CLI [remove-permission](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/remove-permission.html) de forma similar a la siguiente:





```plaintext
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```



Para actualizar los permisos de la función de Lambda, rija el comando de AWS CLI [add-permission](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/add-permission.html) de forma similar a la siguiente:





```plaintext
$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>
```



Para verificar que los permisos se han eliminado o actualizado, repita las instrucciones para [ver la política basada en recursos de una función](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) mediante la [consola de Lambda](https://console.aws.amazon.com/lambda/home#/functions).


La política basada en recursos se debe actualizar ahora.


**Nota:** Si solo había una instrucción en la política, la política está vacía.


Para obtener más información, consulte [Controles de las prácticas recomendadas de seguridad básica de AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html).  






---




 Información relacionada
------------------------



[lambda-function-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)  








AWS Security Hub contiene un tipo de hallazgo similar al siguiente:
“[Lambda.1] Las políticas de la función de Lambda deben prohibir el acceso público”
¿Cómo se puede corregir este tipo de hallazgo?

Resuelva los hallazgos de la política de Lambda de Security Hub

¿Por qué Security Hub activó el hallazgo “Las políticas de la función de Lambda deben prohibir el acceso público”?

¿Por qué Security Hub activó el hallazgo “Las políticas de la función de Lambda deben prohibir el acceso público”?

Descripción breve

Resolución

Información relacionada

Contenido relevante