lambda-function-public-access-prohibited
Verifica se a política de função do AWS Lambda associada ao recurso do Lambda proíbe o acesso público. Se a política de função do Lambda permitir o acesso público, será NON_COMPLIANT.
Contexto: considera-se que uma política de função do lambda permite acesso público se o elemento de entidade principal estiver vazio ou contiver um curinga. Por exemplo, se o elemento de entidade principal for “” ou{“AWS”: “”}. Não é recomendado conceder acesso público por motivos de segurança. Restringir o acesso público pode ajudar você a evitar invocações não autorizadas das funções do Lambda, o que pode comprometer dados ou gerar custos indesejados.
Para restringir o acesso às funções do Lambda, especifique os IDs da AWS conta ou os nomes do recurso da Amazon (ARNs) dos serviços, dos perfis e dos usuários do IAM que podem invocar as funções. Para ter mais informações, consulte Conceder acesso de função a outras contas no Guia do desenvolvedor do AWS Lambda.
A regra também será NON_COMPLIANT se uma função do Lambda for invocada do Amazon S3 e a política não incluir uma condição para limitar o acesso público, como AWS:SourceAccount. Recomendamos usar outras condições do S3 junto com AWS:SourceAccount em sua política de bucket para um acesso mais refinado.
nota
Para ser considerada não pública, uma política baseada em recursos do Lambda só deve conceder acesso a valores fixos. Isso significa valores que não contêm um curinga ou o seguinte elemento de política do IAM: Variables.
Identificador: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED
Tipos de Recurso: AWS::Lambda::Function
Tipo de trigger: alterações da configuração
Região da AWS: todas as regiões da AWS compatíveis, exceto Região Secret-West da AWS, Europa (Espanha) e China (Ningxia).
Parâmetros:
- Nenhum
Modelo do AWS CloudFormation
Para criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation, consulte Criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation.
