Security Hub가 “Lambda 함수 정책이 퍼블릭 액세스를 금지해야 합니다”를 찾기 시작한 이유는 무엇인가요?

간략한 설명

Security Hub에는 다음과 비슷한 찾기 유형이 있습니다.

"[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다."

이 제어 응답은 다음과 같은 이유로 실패합니다.

• Lambda 함수는 공개적으로 액세스할 수 있습니다.
• Amazon Simple Storage Service(S3)에서 Lambda 함수를 호출하지만 정책에 AWS:SourceAccount에 대한 조건이 포함되어 있지 않습니다.

해결 방법

이 문제를 해결하려면 정책을 업데이트하여 공개 액세스를 허용하는 권한을 제거하거나 정책에 AWS:SourceAccount 조건을 추가하세요.

참고:

• 리소스 기반 정책을 업데이트하려면 AWS Command Line Interface(AWS CLI)를 사용해야 합니다.
• AWS CLI 명령을 실행할 때 오류가 발생하면 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.

Lambda 콘솔을 사용하여 함수의 리소스 기반 정책을 확인하세요. 사용 사례에 따라 Lambda 함수에 대한 권한을 제거하거나 업데이트할 수 있습니다.

Lambda 함수에서 권한을 제거하려면 다음과 비슷한 AWS CLI 명령 remove-permission을 실행합니다.

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

Lambda 함수에 대한 권한을 업데이트하려면 다음과 비슷한 AWS CLI 명령 add-permission을 지정하세요.

$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>

권한이 제거되거나 업데이트되었는지 확인하려면 지침을 반복하여 함수의 리소스 기반 정책을 확인하세요.

**참고:**정책에 문이 하나뿐인 경우 정책은 비어 있는 것입니다.

자세한 내용은 Security Hub 제어 참조를 참조하세요.

관련 정보

lambda-function-public-access-prohibited

Security Hub를 사용하여 AWS 환경의 보안 문제를 모니터링하려면 어떻게 해야 하나요?