Lambda のコード署名の設定を作成する

関数でコード署名を有効にするには、コード署名の設定を作成し、その設定を関数にアタッチします。コード署名の設定では、許可済みの署名プロファイルのリストと、検証チェックが失敗した場合に実行するポリシーアクションを定義します。

注記

コンテナイメージとして定義された関数では、コード署名はサポートされません。

構成の前提条件

Lambda 関数用のコード署名を設定する前に、AWS Signer を使用して次の操作を実行します。

• 1 つまたは複数の署名プロファイルを作成します。

• 署名プロファイルを使用して、関数の署名付きコードパッケージを作成します。

コード署名の設定を作成する

コード署名の設定では、許可された署名プロファイルと署名検証ポリシーのリストを定義します。

コード署名設定を (コンソールで) 作成するには、

1. Lambda コンソールの [Code signing configurations (コード署名設定)] ページ)を開きます。

2. [設定を作成] を選択します。

3. [説明] に、その設定のための、分かりやすい名前を入力します。

4. [署名プロファイル] に、設定のための署名プロファイルを (最大 20 個まで) 追加します。

   1. [署名プロファイルバージョンの ARN] から、使用するプロファイルバージョンの Amazon リソースネーム (ARN) を選択します。あるいは、そこに ARN を入力します。

   2. 署名プロファイルを追加するには、[署名プロファイルの追加] をクリックします。

5. [署名の検証ポリシー] で、[警告 ] または [強制] を選択します。

6. [設定を作成] を選択します。

関数のコード署名を有効化する

関数のコード署名を有効にするには、コード署名の設定を関数に追加します。

重要

コード署名の設定では、署名なしコードの新規デプロイのみが防止されます。署名なしコードがある既存の関数にコード署名の設定を追加した場合、そのコードは新しいコードパッケージをデプロイするまで実行され続けます。

コード署名の設定を (コンソールで) 関数に関連付けるには

1. Lambda コンソールの [関数] ページを開きます。

2. コード署名を有効にする関数を選択します。

3. [設定] タブを開きます。

4. 下にスクロールし、[コード署名] を選択します。

5. [編集] を選択します。

6. [コード署名を編集] で、対象の関数に関連付けるコード署名の設定を選択します。

7. [保存] を選択します。