Segurança do Lambda - Arquiteturas multicamada sem servidor da AWS com o Amazon API Gateway e o AWS Lambda

Segurança do Lambda

Para executar uma função do Lambda, ela deve ser chamada por um evento ou serviço autorizado por uma política do AWS Identity and Access Management (IAM). Com as políticas do IAM, você pode criar uma função do Lambda que não pode ser iniciada, a menos que seja chamada por um recurso do API Gateway definido por você. Essa política pode ser definida com políticas baseadas em recursos em vários serviços da AWS.

Cada função do Lambda assume uma função do IAM atribuída quando a função do Lambda é implantada. Essa função do IAM define os outros recursos e serviços da AWS com os quais sua função do Lambda pode interagir (por exemplo, Amazon DynamoDB, Amazon S3). No contexto da função Lambda, isso é chamado de função de execução.

Não armazene informações confidenciais dentro de uma função do Lambda. O IAM lida com o acesso a serviços da AWS por meio da função de execução do Lambda; se você precisar acessar outras credenciais (por exemplo, credenciais de banco de dados e chaves de API) de dentro de sua função do Lambda, poderá usar o AWS Key Management Service (AWS KMS) com variáveis de ambiente ou usar um serviço como o AWS Secrets Manager para manter essas informações seguras quando não estiverem em uso.