为 Lambda 创建代码签名配置 - AWS Lambda
配置先决条件创建代码签名配置为函数启用代码签名

为 Lambda 创建代码签名配置

要为函数启用代码签名,您需要创建代码签名配置并将其附加到函数。代码签名配置定义了允许的签名配置文件列表以及在任意一项验证检查失败时要采取的策略操作。

注意

定义为容器映像的函数不支持代码签名。

配置先决条件

为 Lambda 函数配置代码签名之前,请使用 AWS Signer 执行以下操作:

创建代码签名配置

代码签名配置定义允许的签名配置文件列表和签名验证策略。

创建代码签名配置(控制台)

  1. 打开 Lambda 控制台的 Code signing configurations(代码签名配置)页面

  2. 选择 Create configuration(创建配置)。

  3. 对于 Description(描述),输入一个描述性的配置名称。

  4. Signing profiles(签名配置文件)下,最多可以在配置中添加 20 个签名配置文件。

    1. 对于 Signing profile version ARN(签名配置文件版本 ARN),选择配置文件版本的 Amazon 资源名称 (ARN) 或输入 ARN。

    2. 要添加其他签名配置文件,请选择 Add signing profiles(添加签名配置文件)

  5. Signature validation policy(签名验证策略)下,选择 Warn(警告)或 Enforce(强制执行)。

  6. 选择 Create configuration(创建配置)。

为函数启用代码签名

要为函数启用代码签名,请向该函数添加代码签名配置。

重要

代码签名配置仅阻止未签名代码的新部署。如果将代码签名配置添加到具有未签名代码的现有函数,则该代码将一直运行,直到您部署新的代码包。

将代码签名配置与函数关联(控制台)

  1. 打开 Lamba 控制台的函数页面

  2. 选择要启用代码签名的函数。

  3. 打开 Configuration(配置)选项卡。

  4. 向下滚动并选择代码签名

  5. 选择编辑

  6. Edit code signing(编辑代码签名)中,为此函数选择代码签名配置。

  7. 选择保存