lambda-function-public-access-prohibited

Verifica se a política de função do AWS Lambda associada ao recurso do Lambda proíbe o acesso público. Se a política de função do Lambda permitir o acesso público, será NON_COMPLIANT.

Contexto: considera-se que uma política de função do lambda permite acesso público se o elemento de entidade principal estiver vazio ou contiver um curinga. Por exemplo, se o elemento de entidade principal for “” ou{“AWS”: “”}. Não é recomendado conceder acesso público por motivos de segurança. Restringir o acesso público pode ajudar você a evitar invocações não autorizadas das funções do Lambda, o que pode comprometer dados ou gerar custos indesejados.

Para restringir o acesso às funções do Lambda, especifique os IDs da AWS conta ou os nomes do recurso da Amazon (ARNs) dos serviços, dos perfis e dos usuários do IAM que podem invocar as funções. Para ter mais informações, consulte Conceder acesso de função a outras contas no Guia do desenvolvedor do AWS Lambda.

A regra também será NON_COMPLIANT se uma função do Lambda for invocada do Amazon S3 e a política não incluir uma condição para limitar o acesso público, como AWS:SourceAccount. Recomendamos usar outras condições do S3 junto com AWS:SourceAccount em sua política de bucket para um acesso mais refinado.

nota

Para ser considerada não pública, uma política baseada em recursos do Lambda só deve conceder acesso a valores fixos. Isso significa valores que não contêm um curinga ou o seguinte elemento de política do IAM: Variables.

Identificador: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Tipos de Recurso: AWS::Lambda::Function

Tipo de trigger: alterações da configuração

Região da AWS: todas as regiões da AWS compatíveis, exceto Região Secret-West da AWS, Europa (Espanha) e China (Ningxia).

Parâmetros:

Nenhum

Modelo do AWS CloudFormation

Para criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation, consulte Criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation.