lambda-function-public-access-prohibited

Lambda リソースにアタッチされている AWS Lambda 関数ポリシーがパブリックアクセスを禁止しているかどうかを確認します。Lambda 関数ポリシーがパブリックアクセスを許可している場合、ルールは NON_COMPLIANT です。

コンテキスト: プリンシパル要素が空である、またはワイルドカードが含まれている場合、lambda 関数ポリシーはパブリックアクセスを許可すると見なされます。例えば、プリンシパル要素が “” または {“AWS”: “”} の場合です。セキュリティ上の理由から、パブリックアクセスの許可は推奨されていません。パブリックアクセスを制限すると、データが侵害されたり、不要なコストが発生する可能性がある Lambda 関数の不正な呼び出しを防ぐことができます。

Lambda 関数へのアクセスを制限するには、関数を呼び出すことができる IAM ユーザー、ロール、またはサービスの AWS アカウント ID または Amazon リソースネーム (ARN) を指定します。詳細については、「AWS Lambda デベロッパーガイド」の「関数へのアクセス権を他のアカウントに付与する」を参照してください。

Lambda 関数が Amazon S3 から呼び出され、ポリシーに AWS:SourceAccount などのパブリックアクセスを制限する条件が含まれていない場合も、ルールは NON_COMPLIANT です。より細かくアクセスするには、バケットポリシーで他の S3 条件を AWS:SourceAccount と併用することをおすすめします。

注記

非パブリックとみなされるには、Lambda ソースベースのポリシーが固定値へのアクセスのみを許可する必要があります。これは、ワイルドカードまたは IAM ポリシー要素変数を含まない値です。

識別子: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

リソースタイプ: AWS::Lambda::Function

トリガータイプ: 設定変更

AWS リージョン: AWS Secret 西部、欧州 (スペイン)、中国 (寧夏) の各リージョンを除く、サポートされているすべての AWS リージョン

パラメータ:

なし

AWS CloudFormation テンプレート

AWS Config テンプレートを使用して AWS CloudFormation マネージドルールを作成するには、「AWS Config テンプレートを使用した AWS CloudFormation マネージドルールの作成」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

lambda-function-description

lambda-function-settings-check