lambda-function-public-access-prohibited
检查附加到 Lambda 资源的 AWS Lambda 函数策略是否禁止公开访问。如果 Lambda 函数策略允许公开访问,则此规则为 NON_COMPLIANT。
上下文:如果主体元素为空或包含通配符,则 lambda 函数策略被视为允许公开访问。例如,如果主元素为 “” 或。{“AWS”: “”}出于安全考虑,不建议授予公开访问权限。限制公开访问有助于您防止未经授权的 Lambda 函数被调用,这可能会危害您的数据或产生不必要的费用。
要限制对您的 Lambda 函数的访问,请指定可以调用这些函数的 IAM 用户、角色或服务的 AWS 账户 ID 或 Amazon 资源名称(ARN)。有关更多信息,请参阅《AWS Lambda 开发人员指南》中的向其他账户授予函数访问权。
如果从 Amazon S3 调用 Lambda 函数,并且该策略不包含限制公共访问的条件,例如,AWS:SourceAccount则此规则也为。 NON_COMPLIANT我们建议在存储桶策略中使用 AWS:SourceAccount 与其他 S3 条件以获得更精细的访问权限。
注意
若要被视为非公有策略,基于 Lambda 资源的策略必须仅向固定值授予访问权限。这意味着不包含通配符或以下 IAM 策略元素的值:变量。
标识符:LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED
资源类型:AWS::Lambda::Function
触发器类型: 配置更改
AWS 区域:除以下区域外的所有受支持 AWS 区域:AWS Secret - West、欧洲(西班牙)和中国(宁夏)
参数:
- 无
AWS CloudFormation 模板
要使用 AWS Config 模板创建 AWS CloudFormation 托管规则,请参阅 使用 AWS Config 模板创建 AWS CloudFormation 托管规则
