Help us improve AWS re:Post! We're interested in understanding how you use re:Post and its impact on your AWS journey. Please take a moment to complete our brief 3-question survey.
セキュリティハブで「Lambda 関数ポリシーではパブリックアクセスを禁止する必要があります」という検出結果が表示されたのはなぜですか?
AWS セキュリティハブが AWS Lambda 関数のコントロールチェックレスポンスを返しました。
簡単な説明
セキュリティハブには、次のような検出タイプがあります。
「[Lambda.1] Lambda 関数ポリシーではパブリックアクセスを禁止する必要があります」
このコントロールレスポンスは次の理由で失敗します。
- Lambda 関数が公開されていない。
- Amazon Simple Storage Service (Amazon S3) から Lambda 関数を呼び出したときに、ポリシーに AWS:SourceAccount の条件が含まれていない。
解決策
この問題を解決するには、ポリシーを更新してパブリックアクセスを許可する権限を削除するか、ポリシーに AWS:SourceAccount 条件を追加します。
注:
- リソースベースのポリシーを更新するには、AWS コマンドラインインターフェイス (AWS CLI) を使用する必要があります。
- AWS CLI コマンドの実行中にエラーが発生した場合は、最新の AWS CLI バージョンを使用していることを確認してください。
Lambda コンソールを使用して、関数のリソースベースのポリシーを表示します。状況に応じて、Lambda 関数の権限を削除または更新できます。
Lambda 関数からアクセス権限を削除するには、次のように AWS CLI コマンド remove-permission を実行します。
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
Lambda 関数のアクセス権限を更新するには、次のように AWS CLI コマンド add-permission を適用します。
$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>
権限が削除または更新されたことを確認するには、この手順を繰り返して関数のリソースベースのポリシーを確認してください。
注: ポリシーにステートメントが 1 つしかない場合、そのポリシーは空です。
詳細については、「セキュリティハブコントロールリファレンス」を参照してください。
関連情報
関連するコンテンツ
- 質問済み 5ヶ月前
- AWS公式更新しました 2年前
- AWS公式更新しました 4年前
- AWS公式更新しました 2年前
- AWS公式更新しました 4ヶ月前