Controlla l'accesso agli URL delle funzioni Lambda - AWS Lambda
Utilizzo del tipo di autenticazione AWS_IAMUtilizzo del tipo di autenticazione NONEGovernance e controllo degli accessi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla l'accesso agli URL delle funzioni Lambda

Puoi controllare l'accesso agli URL della funzione Lambda utilizzando il parametro AuthType combinato con policy basate sulle risorse collegate alla funzione specifica. La configurazione di questi due componenti determina chi può richiamare o eseguire altre azioni amministrative sull'URL della funzione.

Il parametro AuthType determina il modo in cui Lambda autentica o autorizza le richieste all'URL della funzione. Quando configuri l'URL della funzione, è necessario specificare una delle seguenti opzioni AuthType:

  • AWS_IAM— Lambda utilizza AWS Identity and Access Management (IAM) per autenticare e autorizzare le richieste in base alla policy di identità del principale IAM e alla policy basata sulle risorse della funzione. Scegli questa opzione se desideri che solo utenti e ruoli autenticati richiamino la funzione tramite l'URL della funzione.

  • NONE: Lambda non esegue alcuna autenticazione prima di richiamare la funzione. Tuttavia, la policy basata sulle risorse della funzione è sempre valida e deve concedere l'accesso pubblico prima che l'URL della funzione possa ricevere richieste. Scegli questa opzione per consentire l'accesso pubblico e non autenticato all'URL della funzione.

Oltre a AuthType, puoi anche utilizzare policy basate sulle risorse per concedere autorizzazioni ad altri Account AWS per richiamare la funzione. Per ulteriori informazioni, consulta Utilizzo di politiche basate sulle risorse in Lambda.

Per ulteriori approfondimenti sulla sicurezza, puoi utilizzare per ottenere un'analisi completa dell'accesso esterno AWS Identity and Access Management Access Analyzer all'URL della tua funzione. IAM Access Analyzer controlla inoltre le autorizzazioni nuove o aggiornate sulle funzioni Lambda per aiutarti a identificare le autorizzazioni che garantiscono l'accesso pubblico e tra account. L'uso di IAM Access Analyzer è gratuito per qualsiasi AWS cliente. Per iniziare a usare IAM Access Analyzer, consulta Using AWS IAM Access Analyzer.

Questa pagina contiene esempi di politiche basate sulle risorse per entrambi i tipi di autenticazione e anche come creare queste politiche utilizzando l'operazione AddPermissionAPI o la console Lambda. Per informazioni su come richiamare l'URL della funzione dopo aver configurato le autorizzazioni, consulta Richiamo di URL di funzioni Lambda.

Utilizzo del tipo di autenticazione AWS_IAM

Se scegli il tipo di autenticazione AWS_IAM, gli utenti che hanno bisogno di richiamare l'URL della funzione Lambda devono avere l'autorizzazione lambda:InvokeFunctionUrl. A seconda di chi effettua la richiesta di richiamo, potrebbe essere necessario concedere questa autorizzazione utilizzando una policy basata sulle risorse.

Se il principale che effettua la richiesta corrisponde all'URL della funzione, il principale deve disporre delle lambda:InvokeFunctionUrl autorizzazioni nella propria politica basata sull'identità o avere le autorizzazioni concesse nella politica basata sulle risorse della funzione. Account AWS In altre parole, una policy basata sulle risorse è facoltativa se l'utente ha già autorizzazioni lambda:InvokeFunctionUrl nella policy basata sull'identità. La valutazione delle policy segue le regole delineate nella sezione Determinare se una richiesta è consentita o rifiutata in un account.

Se il principal che effettua la richiesta si trova in un account diverso, il principal deve avere sia una policy basata sull'identità che fornisce autorizzazioni lambda:InvokeFunctionUrl, sia autorizzazioni concesse in una policy basata sulle risorse nella funzione che si sta tentando di richiamare. Nei casi di interazione tra account, la valutazione delle policy segue le regole delineate in Determinare se una richiesta tra account è consentita.

Per un esempio di interazione tra account, la seguente politica basata sulle risorse consente al ruolo di richiamare l'URL della funzione associata alla funzione: example Account AWS 444455556666 my-function

Esempio Policy di richiamo tra account dell'URL della funzione
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::444455556666:role/example"
            },
            "Action": "lambda:InvokeFunctionUrl",
            "Resource": "arn:aws:lambda:us-east-1:123456789012:function:my-function",
            "Condition": {
                "StringEquals": {
                    "lambda:FunctionUrlAuthType": "AWS_IAM"
                }
            }
        }
    ]
}

È possibile creare questa dichiarazione di policy tramite la console seguendo questi passaggi:

Per concedere le autorizzazioni di richiamo URL a un altro account (console)

  1. Aprire la pagina Funzioni della console Lambda.

  2. Scegli il nome della funzione per la quale desideri concedere autorizzazioni di richiamo URL.

  3. Quindi, seleziona la scheda Configuration (Configurazione) e poi Permissions (Autorizzazioni).

  4. In Resource-based policy (Policy basata sulle risorse), scegli Add permissions (Aggiungi autorizzazioni).

  5. Scegli Function URL (URL funzione).

  6. Per Auth type (Tipo di autenticazione), scegli AWS_IAM.

  7. (Opzionale) Per Statement ID (ID dichiarazione), inserisci un ID dichiarazione per la dichiarazione di policy.

  8. Per Principale, inserisci l'ID o il nome della risorsa Amazon (ARN) dell'utente o del ruolo a cui desideri concedere le autorizzazioni. Ad esempio: 444455556666.

  9. Selezionare Salva.

In alternativa, è possibile creare questa dichiarazione di policy utilizzando il seguente comando add-permission (): AWS Command Line Interface AWS CLI

aws lambda add-permission --function-name my-function \
    --statement-id example0-cross-account-statement \
    --action lambda:InvokeFunctionUrl \
    --principal 444455556666 \
    --function-url-auth-type AWS_IAM

Nell'esempio precedente, il valore della chiave di condizione lambda:FunctionUrlAuthType è AWS_IAM. Questa policy consente l'accesso solo quando anche il tipo di autenticazione dell'URL della funzione è AWS_IAM.

Utilizzo del tipo di autenticazione NONE

Importante

Quando il tipo di autenticazione dell'URL della funzione è NONE e hai una policy basata sulle risorse che garantisce l'accesso pubblico, qualsiasi utente non autenticato con l'URL della funzione può richiamare la funzione.

In alcuni casi, potrebbe essere preferibile che l'URL della funzione sia pubblico. Ad esempio, potrebbe essere preferibile inviare le richieste effettuate direttamente da un browser Web. Per consentire l'accesso pubblico all'URL della funzione, scegli il tipo di autenticazione NONE.

Se scegli il tipo di autenticazione NONE, Lambda non utilizza IAM per autenticare le richieste all'URL della funzione. Tuttavia, gli utenti devono comunque avere autorizzazioni lambda:InvokeFunctionUrl per richiamare correttamente l'URL della funzione. Puoi concedere le autorizzazioni lambda:InvokeFunctionUrl utilizzando la seguente policy basata sulle risorse:

Esempio Policy di richiamo dell'URL della funzione per tutte le entità principali non autenticate
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "lambda:InvokeFunctionUrl",
            "Resource": "arn:aws:lambda:us-east-1:123456789012:function:my-function",
            "Condition": {
                "StringEquals": {
                    "lambda:FunctionUrlAuthType": "NONE"
                }
            }
        }
    ]
}
Nota

Quando crei un URL di funzione con tipo di autenticazione NONE tramite la console o AWS Serverless Application Model (AWS SAM), Lambda crea automaticamente la precedente dichiarazione politica basata sulle risorse per te. Se la policy esiste già o l'utente o il ruolo che crea l'applicazione non dispone delle autorizzazioni appropriate, Lambda non la crea per tuo conto. Se utilizzi direttamente l'API Lambda AWS CLI AWS CloudFormation, o l'API Lambda, devi aggiungere tu stesso le lambda:InvokeFunctionUrl autorizzazioni. Questo rende pubblica la funzione.

Inoltre, se elimini l'URL della funzione con il tipo di autenticazione NONE, Lambda non elimina automaticamente la policy basata sulle risorse associata. Se desideri eliminare questa policy, dovrai farlo manualmente.

In questa dichiarazione, il valore della chiave di condizione lambda:FunctionUrlAuthType è NONE. Questa dichiarazione di policy consente l'accesso solo quando anche il tipo di autenticazione dell'URL della funzione è NONE.

Se la policy basata sulle risorse di una funzione non concede le autorizzazioni lambda:invokeFunctionUrl, gli utenti riceveranno un codice di errore 403 Non consentito quando tentano di richiamare l'URL della funzione, anche se l'URL della funzione utilizza il tipo di autenticazione NONE

Governance e controllo degli accessi

Oltre alle autorizzazioni di richiamo degli URL della funzione, puoi anche controllare l'accesso alle azioni utilizzate per configurare gli URL della funzione. Lambda supporta le seguenti azioni delle policy IAM per gli URL della funzione:

  • lambda:InvokeFunctionUrl: richiamo di una funzione Lambda utilizzando l'URL della funzione.

  • lambda:CreateFunctionUrlConfig: creazione di un URL della funzione e impostazione del relativo AuthType.

  • lambda:UpdateFunctionUrlConfig: aggiornamento della configurazione dell'URL della funzione e del relativo AuthType.

  • lambda:GetFunctionUrlConfig: visualizzazione dei dettagli dell'URL della funzione.

  • lambda:ListFunctionUrlConfigs: elenco delle configurazioni dell'URL della funzione.

  • lambda:DeleteFunctionUrlConfig: eliminazione dell'URL della funzione.

Nota

La console Lambda supporta l'aggiunta di autorizzazioni solo per lambda:InvokeFunctionUrl. Per tutte le altre azioni, è necessario aggiungere autorizzazioni utilizzando l'API Lambda o AWS CLI.

Per consentire o negare l'accesso all'URL della funzione ad altre AWS entità, includi queste azioni nelle policy IAM. Ad esempio, la seguente politica concede il example ruolo nelle Account AWS 444455556666 autorizzazioni per aggiornare l'URL della funzione per la funzione nell'account. my-function 123456789012

Esempio Policy dell'URL della funzione tra account
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": { 
                "AWS": "arn:aws:iam::444455556666:role/example"
            },
            "Action": "lambda:UpdateFunctionUrlConfig",
            "Resource": "arn:aws:lambda:us-east-2:123456789012:function:my-function"
        }
    ]
}

Chiavi di condizione

Per un controllo accurato degli accessi sugli URL della funzione, utilizzare una chiave di condizione. Lambda supporta una chiave di condizione aggiuntiva per gli URL della funzione: FunctionUrlAuthType. La chiave FunctionUrlAuthType definisce un valore enum che descrive il tipo di autenticazione utilizzato dall'URL della funzione. Il valore può essere AWS_IAM o NONE.

È possibile utilizzare questa chiave di condizione in policy associate alla funzione. Ad esempio, è preferibile limitare chi può apportare modifiche alla configurazione degli URL della funzione. Per negare tutte le richieste UpdateFunctionUrlConfig a qualsiasi funzione con tipo di autenticazione URL NONE, è possibile definire la seguente policy:

Esempio Policy dell'URL della funzione con rifiuto esplicito
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action":[
                "lambda:UpdateFunctionUrlConfig"
            ],
            "Resource": "arn:aws:lambda:us-east-1:123456789012:function:*",
            "Condition": {
                "StringEquals": {
                    "lambda:FunctionUrlAuthType": "NONE"
                }
            }
        }
    ]
}

Per concedere il example ruolo nelle Account AWS 444455556666 autorizzazioni CreateFunctionUrlConfig e nelle UpdateFunctionUrlConfig richieste sulle funzioni con tipo di autenticazione URLAWS_IAM, puoi definire la seguente politica:

Esempio Policy dell'URL della funzione con permesso esplicito
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": { 
                "AWS": "arn:aws:iam::444455556666:role/example"
            },
            "Action":[
                "lambda:CreateFunctionUrlConfig",
                "lambda:UpdateFunctionUrlConfig"
            ],
            "Resource": "arn:aws:lambda:us-east-1:123456789012:function:*",
            "Condition": {
                "StringEquals": {
                    "lambda:FunctionUrlAuthType": "AWS_IAM"
                }
            }
        }
    ]
}

È inoltre possibile utilizzare questa chiave di condizione in una policy di controllo dei servizi (SCP). Utilizzare SCP per gestire le autorizzazioni di un'intera organizzazione in AWS Organizations. Ad esempio, per negare agli utenti di creare o aggiornare gli URL della funzione che utilizzano qualcosa di diverso dal tipo di autenticazione AWS_IAM, utilizzare i seguenti criteri di controllo dei servizi:

Esempio SCP dell'URL della funzione con rifiuto esplicito
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action":[
                "lambda:CreateFunctionUrlConfig",
                "lambda:UpdateFunctionUrlConfig"
            ],
            "Resource": "arn:aws:lambda:*:123456789012:function:*",
            "Condition": {
                "StringNotEquals": {
                    "lambda:FunctionUrlAuthType": "AWS_IAM"
                }
            }
        }
    ]
}