Principais conceitos de segurança:Permissões obrigatórias Práticas recomendadas Próximas etapas

Segurança e permissões

As instâncias gerenciadas do Lambda usam provedores de capacidade como limites de confiança. As funções são executadas em contêineres dentro dessas instâncias, mas os contêineres não fornecem isolamento de segurança entre as workloads. Todas as funções atribuídas ao mesmo provedor de capacidade devem ser mutuamente confiáveis.

Principais conceitos de segurança:

Provedor de capacidade: o limite de segurança que define os níveis de confiança para as funções do Lambda
Isolamento de contêineres: os contêineres não são um limite de segurança. Não confie neles para garantir a segurança entre workloads não confiáveis
Separação de confiança: separe as workloads que não sejam mutuamente confiáveis usando diferentes provedores de capacidade.

Permissões obrigatórias

Ação do PassCapacityProvider

Os usuários precisam da permissão lambda:PassCapacityProvider para atribuir funções aos provedores de capacidade. Essa permissão atua como uma porta de segurança, garantindo que somente usuários autorizados possam colocar funções em provedores de capacidade específicos.

Os administradores da conta controlam quais funções podem usar provedores de capacidade específicos por meio da ação lambda:PassCapacityProvider do IAM. Essa ação será necessária quando:

Criação de funções que usem as instâncias gerenciadas do Lambda
Atualização das configurações da função para usar um provedor de capacidade
Implantação de funções via infraestrutura como código

Exemplo de política do IAM


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "lambda:PassCapacityProvider",
      "Resource": "arn:aws:lambda:*:*:capacity-provider:trusted-workloads-*"
    }
  ]
}

Função vinculada ao serviço

O AWS Lambda usa o perfil vinculado ao serviço AWSServiceRoleForLambda para gerenciar recursos do ec2 de instâncias gerenciadas do Lambda em seus provedores de capacidade.

Práticas recomendadas

Separe por nível de confiança: crie diferentes provedores de capacidade para workloads com diferentes requisitos de segurança
Use nomes descritivos: nomeie os provedores de capacidade para indicar claramente o uso pretendido e o nível de confiança (por exemplo, production-trusted, dev-sandbox).
Aplique o privilégio mínimo: conceda permissões PassCapacityProvider somente para os provedores de capacidade necessários
Monitore o uso: use o AWS CloudTrail para monitorar as atribuições e os padrões de acesso do provedor de capacidade.

Próximas etapas

Saiba mais sobre provedores de capacidade para instâncias gerenciadas do Lambda
Entenda a escalabilidade para instâncias gerenciadas do Lambda
Configure a conectividade de VPC para seus provedores de capacidade
Consulte os guias específicos de runtime para Java, Node.js e Python

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Escalabilidade

Perfil de operador