使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

为什么 ARNlike 条件不足以抑制"Lambda function policies should prohibit public access"警告?

0

【以下的问题经过翻译处理】 你好, 我有一个带有以下格式策略的lambda函数:

      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:<lambda-arn>",
      "Condition": {
        "ArnLike": {
          "AWS:SourceArn": "arn:aws:s3:::<s3-arn>"
        }

在安全中心中,我针对相同的lambda函数有以下关键警告: ‘’‘ Lambda.1 Lambda function policies should prohibit public access ’‘’

经我的理解,此发现希望我也添加“AWS:SourceAccount”帐户条件。但是我的观点是,考虑到我拥有s3存储桶,只有我的存储桶可以调用此lambda函数。如果我始终拥有此存储桶,则安全性与添加源帐户条件一样高。

我的问题是,从安全的角度来看,我是否安全地禁止此警告并继续工作,还是我忽略了某些内容?

谢谢。

1 回答
0

【以下的回答经过翻译处理】 是的,我认为如果您始终拥有您所认识的在“AWS:SourceArn”中指定的 S3,则不太可能发生意外访问。 但是,如果 S3 被错误删除,无关的第三方将能够创建与“AWS:SourceArn”中指定的 S3 相同的 S3。 我认为在出现这种情况时设置“AWS:SourceAccount”很有用。

profile picture
专家
已回答 1 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则