本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的加密最佳实践 AWS Lambda
AWS Lambda 是一项计算服务,可帮助您运行代码,无需预置或管理服务器。为了保护环境变量,您可以使用服务器端加密来保护静态数据,使用客户端加密来保护传输中数据。
考虑下面针对该服务的加密最佳实践:
-
Lambda 始终通过 AWS KMS key提供服务器端静态加密。默认情况下,Lambda 使用 AWS 托管密钥。我们建议您使用客户管理的密钥,因为您可以完全控制密钥,包括管理、轮换和审计。
-
对于需要加密的传输中数据,启用帮助程序,以确保使用首选 KMS 密钥对环境变量进行客户端加密,从而保护传输中数据。有关更多信息,请参阅 Securing environment variables 中的 Security in transit。
-
应在传输过程中对包含敏感数据或关键数据的 Lambda 函数环境变量进行加密,以保护动态传递给函数的数据(通常是访问信息)免遭未经授权的访问。
-
要防止用户查看环境变量,请在 IAM policy 或密钥政策中的用户权限中添加一条语句,以拒绝用户访问默认密钥、客户管理的密钥或所有密钥。有关更多信息,请参阅使用 AWS Lambda 环境变量。
