本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK
Description
AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK Runbook 會加密您使用 AWS Lambda () 客戶受管金鑰所指定 AWS Key Management Service (Lambda AWS KMS) 函數的環境變數。此 Runbook 僅應做為基準,以確保您 Lambda 函數的環境變數根據最低建議的安全最佳實務進行加密。我們建議使用不同的客戶受管金鑰加密多個函數。
文件類型
自動化
擁有者
Amazon
平台
Linux、macOS、 Windows
參數
-
AutomationAssumeRole
類型:字串
描述:(必要) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。
-
FunctionName
類型:字串
描述:(必要) 您要加密其環境變數的 Lambda 函數名稱或 ARN。
-
KMSKeyArn
類型:字串
描述:(必要) 您要用來加密 Lambda 函數環境變數 AWS KMS 的客戶受管金鑰 ARN。
必要的 IAM 許可
AutomationAssumeRole 參數需要下列動作才能成功使用 Runbook。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
lambda:GetFunctionConfiguration -
lambda:UpdateFunctionConfiguration
文件步驟
-
aws:waitForAwsResourceProperty- 等待LastUpdateStatus屬性為Successful。 -
aws:executeAwsApi- 使用您在FunctionName參數中指定的 AWS KMS 客戶受管金鑰,加密您在KMSKeyArn參數中指定的 Lambda 函數的環境變數。 -
aws:assertAwsResourceProperty- 確認您的 Lambda 函數的環境變數已啟用加密。
