Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de la firma de código para su aplicación de AWS SAM
Para garantizar que solo se implemente código de confianza, puede utilizar AWS SAM para habilitar la firma de código en sus aplicaciones sin servidor. Firmar el código ayuda a garantizar que el código no se haya modificado desde la firma y que solo los paquetes de código firmados de editores de confianza se ejecuten en las funciones de Lambda. Esto ayuda a las organizaciones a liberarse de la carga de crear componentes de control en sus procesos de implementación.
Para obtener más información sobre la característica de firma de código, consulta Configuración de firma de código para funciones de Lambda en la Guía para desarrolladores de AWS Lambda.
Antes de configurar la firma de código para una aplicación sin servidor, debes crear un perfil de firma con AWS Signer. Este perfil de firma se utiliza para las siguientes tareas:
-
Creación de una configuración de firma de código: declare un recurso
AWS::Lambda::CodeSigningConfigpara especificar los perfiles de firma de los editores de confianza y establecer la acción política para las comprobaciones de validación. Puedes declarar este objeto en la misma plantilla AWS SAM que tu función sin servidor, en una plantilla de AWS SAM diferente o en una plantilla de CloudFormation. A continuación, habilita la firma de código para una función sin servidor especificando la propiedad de la funciónCodeSigningConfigArncon el nombre de recurso de Amazon (ARN) de un recursoAWS::Lambda::CodeSigningConfig. -
Firmar el código: utiliza el comando
sam packageosam deploycon la opción--signing-profiles.
nota
Para poder firmar correctamente el código con los comandos sam package o sam
deploy, el control de versiones debes estar habilitado para el bucket de Amazon S3 que utiliza con estos comandos. Si utilizas el bucket de Amazon S3 que AWS SAM creas para ti, el control de versiones se habilita automáticamente. Para obtener más información sobre el control de versiones de los buckets de Amazon S3 e instrucciones para habilitar el control de versiones en un bucket de Amazon S3 que proporciones, consulta Uso del control de versiones en los buckets de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
Al implementar una aplicación sin servidor, Lambda realiza comprobaciones de validación en todas las funciones para las que ha habilitado la firma de código. Lambda también realiza comprobaciones de validación en cualquier capa de la que dependan esas funciones. Para obtener más información sobre las comprobaciones de validación de Lambda, consulta la validación de firmas en la Guía para desarrolladores de AWS Lambda.
Ejemplo
Creación de un perfil de firma
Para crearlo, ejecuta este comando:
aws signer put-signing-profile --platform-id "AWSLambda-SHA384-ECDSA" --profile-nameMySigningProfile
Si el comando anterior se ejecuta correctamente, verás que se devuelve el ARN del perfil de firma. Por ejemplo:
{ "arn": "arn:aws:signer:us-east-1:111122223333:/signing-profiles/MySigningProfile", "profileVersion": "SAMPLEverx", "profileVersionArn": "arn:aws:signer:us-east-1:111122223333:/signing-profiles/MySigningProfile/SAMPLEverx" }
El campo profileVersionArn contiene el ARN que se utilizará al crear la configuración de firma de código.
Creación de una configuración de firma de código para una función
La siguiente plantilla AWS SAM de ejemplo declara un recurso AWS::Lambda::CodeSigningConfig y habilita la firma de código para una función de Lambda. En este ejemplo, hay un perfil de confianza y las implementaciones se rechazan si las comprobaciones de firma fallan.
Resources: HelloWorld: Type: AWS::Serverless::Function Properties: CodeUri: hello_world/ Handler: app.lambda_handler Runtime: python3.7 CodeSigningConfigArn: !Ref MySignedFunctionCodeSigningConfig MySignedFunctionCodeSigningConfig: Type: AWS::Lambda::CodeSigningConfig Properties: Description: "Code Signing for MySignedLambdaFunction" AllowedPublishers: SigningProfileVersionArns: -MySigningProfile-profileVersionArnCodeSigningPolicies: UntrustedArtifactOnDeployment: "Enforce"
Firmar tu código
Puedes firmar el código al empaquetar o implementar la aplicación. Especifique la opción --signing-profiles con el comando sam package o sam deploy, como se muestra en los siguientes comandos de ejemplo.
Firmar el código de función al empaquetar la aplicación:
sam package --signing-profilesHelloWorld=MySigningProfile--s3-bucketamzn-s3-demo-bucket--output-template-file packaged.yaml
Firmar el código de la función y la capa de la que depende la función al empaquetar la aplicación:
sam package --signing-profilesHelloWorld=MySigningProfile MyLayer=MySigningProfile--s3-bucketamzn-s3-demo-bucket--output-template-file packaged.yaml
Firmar el código de la función y una capa y, a continuación, realizar una implementación:
sam deploy --signing-profilesHelloWorld=MySigningProfile MyLayer=MySigningProfile--s3-bucketamzn-s3-demo-bucket--template-file packaged.yaml --stack-name --region us-east-1 --capabilities CAPABILITY_IAM
nota
Para poder firmar correctamente el código con los comandos sam package o sam
deploy, el control de versiones debes estar habilitado para el bucket de Amazon S3 que utiliza con estos comandos. Si utilizas el bucket de Amazon S3 que AWS SAM creas para ti, el control de versiones se habilita automáticamente. Para obtener más información sobre el control de versiones de los buckets de Amazon S3 e instrucciones para habilitar el control de versiones en un bucket de Amazon S3 que proporciones, consulta Uso del control de versiones en los buckets de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
Proporcionar perfiles de firma con sam deploy --guided
Al ejecutar el comando sam deploy --guided con una aplicación sin servidor configurada con firma de código, AWS SAM te pide que proporciones el perfil de firma que se utilizará para la firma de código. Para obtener más información sobre sam deploy --guided, consulta sam deploy en la referencia de los comandos de AWS SAM CLI.
