View a markdown version of this page

lambda-function-public-access-prohibited - AWS Config
AWS CloudFormation modelo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

lambda-function-public-access-prohibited

Verifica se a política de AWS Lambda função anexada ao recurso Lambda proíbe o acesso público. Se a política de função do Lambda permitir o acesso público, será NON_COMPLIANT.

Contexto: considera-se que uma política de função do lambda permite acesso público se o elemento de entidade principal estiver vazio ou contiver um curinga. Por exemplo, se o elemento de entidade principal for “” ou{“AWS”: “”}. Não é recomendado conceder acesso público por motivos de segurança. Restringir o acesso público pode ajudar você a evitar invocações não autorizadas das funções do Lambda, o que pode comprometer dados ou gerar custos indesejados.

Para restringir o acesso às suas funções do Lambda, especifique os IDs da AWS conta ou os Amazon Resource Names (ARNs) dos usuários, funções ou serviços do IAM que podem invocar as funções. Para ter mais informações, consulte Conceder acesso de função a outras contas no Guia do desenvolvedor do AWS Lambda .

A regra também será NON_COMPLIANT se uma função do Lambda for invocada do Amazon S3 e a política não incluir uma condição para limitar o acesso público, como AWS:SourceAccount. Recomendamos usar outras condições do S3 junto com AWS:SourceAccount em sua política de bucket para um acesso mais refinado.

nota

Para ser considerada não pública, uma política baseada em recursos do Lambda só deve conceder acesso a valores fixos. Isso significa valores que não contêm um curinga ou o seguinte elemento de política do IAM: Variables.

Identificador: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Tipos de recursos: AWS::Lambda: :Função

Tipo de trigger: alterações da configuração

Região da AWS: Todas as AWS regiões suportadas, exceto a região da Europa (Espanha) e China (Ningxia)

Parâmetros:

Nenhum

AWS CloudFormation modelo

Para criar regras AWS Config gerenciadas com AWS CloudFormation modelos, consulteCriação de regras AWS Config gerenciadas com AWS CloudFormation modelos.