安全與許可

Lambda 受管執行個體使用容量提供者做為信任界限。函數會在這些執行個體內的容器中執行，但容器不提供工作負載之間的安全隔離。指派給相同容量提供者的所有函數都必須相互信任。

關鍵安全概念

• 容量提供者：定義 Lambda 函數信任層級的安全界限

• 容器隔離：容器不是安全界限 - 不要依賴它們來確保不受信任工作負載之間的安全

• 信任分離：使用不同的容量提供者來分隔不受互信的工作負載

所需的許可

PassCapacityProvider 動作

使用者需要 lambda:PassCapacityProvider許可，才能將函數指派給容量提供者。此許可充當安全閘道，確保只有授權使用者才能在特定容量提供者中放置函數。

帳戶管理員可透過 IAM lambda:PassCapacityProvider 動作控制哪些函數可以使用特定容量提供者。以下情況需要此動作：

• 建立使用 Lambda 受管執行個體的函數

• 更新函數組態以使用容量提供者

• 透過基礎設施將函數部署為程式碼

IAM 政策範例

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "lambda:PassCapacityProvider",
      "Resource": "arn:aws:lambda:*:*:capacity-provider:trusted-workloads-*"
    }
  ]
}

服務連結角色

AWS Lambda 使用AWSServiceRoleForLambda服務連結角色來管理容量提供者中的 Lambda 受管執行個體 ec2 資源。

最佳實務

1. 依信任層級分隔：為具有不同安全需求的工作負載建立不同的容量提供者

2. 使用描述性名稱：命名容量提供者，以清楚指出其預期用途和信任層級 （例如 production-trusted、dev-sandbox)

3. 套用最低權限：僅授予必要容量提供者的PassCapacityProvider許可

4. 監控用量：使用 AWS CloudTrail 監控容量提供者指派和存取模式

後續步驟

• 了解 Lambda 受管執行個體的容量提供者

• 了解 Lambda 受管執行個體的擴展

• 為您的容量提供者設定 VPC 連線

• 檢閱 Java、Node.js 和 Python 的執行時間特定指南