lambda-function-public-access-prohibited
Lambda 리소스에 연결된 AWS Lambda 함수 정책이 퍼블릭 액세스를 금지하는지 확인합니다. Lambda 함수 정책이 퍼블릭 액세스를 허용하는 경우 NON_COMPLIANT로 간주됩니다.
컨텍스트: Lambda 함수 정책은 보안 주체 요소가 비어 있거나 와일드카드가 포함된 경우 퍼블릭 액세스를 허용하는 것으로 간주됩니다. 예를 들어, 보안 주체 요소가 “” 또는 {“AWS”: “”}인 경우 보안상의 이유로 퍼블릭 액세스 권한을 부여하는 것은 권장되지 않습니다. 퍼블릭 액세스를 제한하면 Lambda 함수의 무단 호출을 방지하는 데 도움이 될 수 있으며, 이로 인해 데이터가 손상되거나 원치 않는 비용이 발생할 수 있습니다.
Lambda 함수에 대한 액세스를 제한하려면 함수를 호출할 수 있는 IAM 사용자, 역할 또는 서비스의 AWS 계정 IDs 또는 Amazon 리소스 이름(ARN)을 지정합니다. 자세한 정보는 AWS Lambda 개발자 안내서의 다른 계정에 대한 함수 액세스 부여를 참조합니다.
Amazon S3에서 Lambda 함수를 간접 호출하고 정책에 AWS:SourceAccount와 같이 퍼블릭 액세스를 제한하는 조건이 포함되어 있지 않은 경우에도 규칙은 NON_COMPLIANT입니다. 액세스를 더 세분화하려면 버킷 정책에 AWS:SourceAccount와 다른 S3 조건을 함께 사용하는 것이 좋습니다.
참고
비공개로 간주되려면 Lambda 리소스 기반 정책이 고정 값에 대한 액세스 권한만 부여해야 합니다. 즉, 와일드카드 또는 변수라는 IAM 정책 요소가 포함되지 않은 값을 의미합니다.
식별자: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED
리소스 유형: AWS::Lambda::Function
트리거 0유형: 구성 변경
AWS 리전: AWS 시크릿 서부, 유럽(스페인), 중국(닝샤) 리전을 제외한 지원되는 모든 AWS 리전
파라미터:
- 없음
AWS CloudFormation 템플릿
AWS CloudFormation 템플릿을 사용하여 AWS Config 관리형 규칙을 만들려면 AWS Config 템플릿으로 AWS CloudFormation 관리형 규칙 만들기 섹션을 참조하세요.
