Konsep Keamanan Utama Izin yang Diperlukan Praktik Terbaik Langkah selanjutnya

Keamanan dan izin

Instans Terkelola Lambda menggunakan penyedia kapasitas sebagai batas kepercayaan. Fungsi dijalankan dalam kontainer dalam instance ini, tetapi kontainer tidak menyediakan isolasi keamanan antar beban kerja. Semua fungsi yang ditugaskan ke penyedia kapasitas yang sama harus saling dipercaya.

Konsep Keamanan Utama

Penyedia Kapasitas: Batas keamanan yang menentukan tingkat kepercayaan untuk fungsi Lambda
Isolasi Kontainer: Kontainer bukan batas keamanan - jangan mengandalkannya untuk keamanan di antara beban kerja yang tidak tepercaya
Pemisahan Kepercayaan: Pisahkan beban kerja yang tidak saling dipercaya dengan menggunakan penyedia kapasitas yang berbeda

Izin yang Diperlukan

PassCapacityProvider Aksi

Pengguna memerlukan lambda:PassCapacityProvider izin untuk menetapkan fungsi ke penyedia kapasitas. Izin ini bertindak sebagai gerbang keamanan, memastikan hanya pengguna yang berwenang yang dapat menempatkan fungsi di penyedia kapasitas tertentu.

Administrator akun mengontrol fungsi mana yang dapat menggunakan penyedia kapasitas tertentu melalui tindakan lambda:PassCapacityProvider IAM. Tindakan ini diperlukan ketika:

Membuat fungsi yang menggunakan Instans Terkelola Lambda
Memperbarui konfigurasi fungsi untuk menggunakan penyedia kapasitas
Menerapkan fungsi melalui infrastruktur sebagai kode

Contoh Kebijakan IAM


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "lambda:PassCapacityProvider",
      "Resource": "arn:aws:lambda:*:*:capacity-provider:trusted-workloads-*"
    }
  ]
}

peran tertaut layanan

AWS Lambda menggunakan peran AWSServiceRoleForLambda terkait layanan untuk mengelola sumber daya ec2 Instans Terkelola Lambda di penyedia kapasitas Anda.

Praktik Terbaik

Pisahkan berdasarkan Tingkat Kepercayaan: Buat penyedia kapasitas yang berbeda untuk beban kerja dengan persyaratan keamanan yang berbeda
Gunakan Nama Deskriptif: Beri nama penyedia kapasitas untuk menunjukkan dengan jelas tujuan penggunaan dan tingkat kepercayaan mereka (mis.,production-trusted,dev-sandbox)
Terapkan Hak Istimewa Paling Sedikit: Berikan PassCapacityProvider izin hanya untuk penyedia kapasitas yang diperlukan
Penggunaan Monitor: Gunakan AWS CloudTrail untuk memantau penetapan penyedia kapasitas dan pola akses

Langkah selanjutnya

Pelajari tentang penyedia kapasitas untuk Instans Terkelola Lambda
Memahami penskalaan untuk Instans Terkelola Lambda
Konfigurasikan konektivitas VPC untuk penyedia kapasitas Anda
Tinjau panduan khusus runtime untuk Java, Node.js, dan Python

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Penskalaan

Peran operator