Conceptos clave de seguridad Permisos necesarios Prácticas recomendadas Siguientes pasos

Seguridad y permisos

Las instancias administradas de Lambda utilizan proveedores de capacidad como límites de confianza. Las funciones se ejecutan en contenedores dentro de estas instancias, pero los contenedores no proporcionan aislamiento de seguridad entre las cargas de trabajo. Todas las funciones asignadas al mismo proveedor de capacidad deben ser de confianza mutua.

Conceptos clave de seguridad

Proveedor de capacidad: el límite de seguridad que define los niveles de confianza para las funciones de Lambda.
Aislamiento de contenedores: los contenedores no son un límite de seguridad; no confíe en ellos para garantizar la seguridad entre cargas de trabajo que no sean de confianza.
Separación de confianza: separe las cargas de trabajo en las que no se confíe mutuamente mediante distintos proveedores de capacidad.

Permisos necesarios

Acción de PassCapacityProvider

Los usuarios necesitan el permiso de lambda:PassCapacityProvider para asignar funciones a los proveedores de capacidad. Este permiso actúa como una puerta de seguridad, ya que garantiza que solo los usuarios autorizados puedan colocar funciones en proveedores de capacidad específicos.

Los administradores de cuentas controlan qué funciones pueden utilizar proveedores de capacidad específicos mediante la acción de IAM lambda:PassCapacityProvider. Esta acción se requiere en las siguientes situaciones:

Creación de funciones que utilizan instancias administradas de Lambda.
Actualización de las configuraciones de funciones para usar un proveedor de capacidad.
Implementación de funciones a través de la infraestructura como código.

Política de IAM de ejemplo


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "lambda:PassCapacityProvider",
      "Resource": "arn:aws:lambda:*:*:capacity-provider:trusted-workloads-*"
    }
  ]
}

Rol vinculado a servicio

AWS Lambda utiliza el rol vinculado a servicios AWSServiceRoleForLambda para administrar los recursos ec2 de las instancias administradas de Lambda en sus proveedores de capacidad.

Prácticas recomendadas

Establezca una separación por nivel de confianza: cree diferentes proveedores de capacidad para cargas de trabajo con diferentes requisitos de seguridad.
Utilice nombres descriptivos: denomine los proveedores de capacidad para indicar claramente su uso previsto y su nivel de confianza (por ejemplo, production-trusted, dev-sandbox).
Aplique el privilegio mínimo: conceda permisos de PassCapacityProvider solo a los proveedores de capacidad necesarios.
Supervise el uso: utilice AWS CloudTrail para supervisar las asignaciones de los proveedores de capacidad y los patrones de acceso.

Siguientes pasos

Obtenga información sobre los proveedores de capacidad para las instancias administradas de Lambda.
Conozca el escalado de las instancias administradas de Lambda.
Configure la conectividad de VPC para sus proveedores de capacidad.
Revise las guías específicas del tiempo de ejecución para Java, Node.js y Python.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Escalado

Rol de operador