Lambda セキュリティ - Amazon API Gateway と AWS Lambda を使用した AWS サーバーレスマルチティアアーキテクチャ

このホワイトペーパーは過去の参考用です。一部のコンテンツは古く、一部のリンクは使用できない場合があります。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lambda セキュリティ

Lambda 関数を実行するには、 AWS Identity and Access Management (IAM) ポリシーで許可されているイベントまたはサービスによって呼び出される必要があります。IAM ポリシーを使用すると、定義した API Gateway リソースによって呼び出されない限り、まったく開始できない Lambda 関数を作成できます。このようなポリシーは、さまざまな AWS サービスでリソースベースのポリシーを使用して定義できます。

各 Lambda 関数は、Lambda 関数がデプロイされたときに割り当てられた IAM ロールを引き受けます。この IAM ロールは、Lambda 関数が操作できる他の AWS サービスとリソース (Amazon DynamoDB Amazon S3 など) を定義します。Lambda 関数では、これは実行ロールと呼ばれます。

機密情報を Lambda 関数内に保存しないでください。IAM は Lambda 実行ロールを介して AWS サービスへのアクセスを処理します。Lambda 関数内から他の認証情報 (データベース認証情報や API キーなど) にアクセスする必要がある場合は、環境変数で AWS Key Management Service (AWS KMS) を使用するか、AWSSecrets Manager などのサービスを使用して、使用していないときにこの情報を安全に保つことができます。