La Centrale di sicurezza AWS contiene un tipo di risultato simile al seguente:
"[Lambda.1] Le policy delle funzioni Lambda dovrebbero vietare l'accesso pubblico"
Come posso correggere questo tipo di risultato?
Breve descrizione
Questa risposta di controllo non riesce se la funzione AWS Lambda è:
- Accessibile pubblicamente.
- Richiamato dal Servizio di archiviazione semplice Amazon (Amazon S3) e la policy non include una condizione perAWS:SourceAccount.
Risoluzione
Scegli una delle seguenti operazioni:
Aggiorna la policy per rimuovere le autorizzazioni che consentono l'accesso pubblico.
-oppure-
Aggiungi la condizione AWS:SourceAccount alla policy.
Nota:
Segui le istruzioni per visualizzare una policy basata sulle risorse di una funzione utilizzando la console Lambda. A seconda del caso d'uso, è possibile rimuovere o aggiornare le autorizzazioni per la funzione Lambda.
Per rimuovere le autorizzazioni dalla funzione Lambda, esegui il comando remove-permission di AWS CLI come riportato di seguito:
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
Per aggiornare le autorizzazioni per la funzione Lambda, regola il comando add-permission di AWS CLI come riportato di seguito:
$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>
Per verificare che le autorizzazioni siano state rimosse o aggiornate, ripetere le operazioni per visualizzare la policy basata sulle risorse di una funzione utilizzando la console Lambda.
La policy basata sulle risorse dovrebbe ora essere aggiornata.
Nota: se c'era solo una istruzione nella policy, la policy ora sarà vuota.
Per ulteriori informazioni, consulta Controlli sulle best practice di sicurezza di AWS Foundational.
Informazioni correlate
lambda-function-public-access-prohibited