Pourquoi Security Hub a-t-il déclenché le résultat « Les politiques de fonction Lambda doivent interdire l'accès public » ?

Lecture de 2 minute(s)
0

AWS Security Hub a renvoyé une réponse de contrôle pour une fonction AWS Lambda.

Brève description

Security Hub contient un type de résultat similaire au suivant :

« [Lambda.1] Les politiques relatives aux fonctions Lambda doivent interdire l'accès public »

Cette réponse de contrôle échoue pour les raisons suivantes :

  • La fonction Lambda est accessible au public.
  • Vous appelez la fonction Lambda depuis Amazon Simple Storage Service (Amazon S3) et la politique n'inclut aucune condition pour AWS:SourceAccount.

Résolution

Pour résoudre ce problème, mettez à jour la politique afin de supprimer les autorisations qui permettent l'accès public, ou ajoutez la condition AWS:SourceAccount à la politique.

Remarque :

Utilisez la console Lambda pour afficher la politique basée sur les ressources d'une fonction. Selon votre cas d'utilisation, vous pouvez supprimer ou mettre à jour les autorisations pour la fonction Lambda.

Pour supprimer les autorisations de la fonction Lambda, exécutez la commande AWS CLI remove-permission similaire à la suivante :

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

Pour mettre à jour les autorisations pour la fonction Lambda, réglez la commande AWS CLI add-permission de la manière suivante :

$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>

Pour vérifier que les autorisations sont supprimées ou mises à jour, répétez les instructions pour afficher la politique basée sur les ressources d'une fonction.

Remarque : Si la politique ne contient qu'une seule instruction, elle est vide.

Pour plus d'informations, consultez la référence des contrôles du centre de sécurité.

Informations connexes

lambda-function-public-access-prohibited

Comment puis-je utiliser Security Hub pour surveiller les problèmes de sécurité de mon environnement AWS ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 10 mois