本白皮书仅供历史参考。有些内容可能已过时，有些链接可能不可用。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Lambda 安全
<a name="lambda-security"></a>

 要运行 Lambda 函数，必须由 [AWS Identity and Access Management (IAM) 策略](https://aws.amazon.com/iam/)允许的事件或服务调用该函数。使用 IAM 策略，您可以创建一个 Lambda 函数，除非由您定义的 API Gateway 资源调用，否则该函数根本无法启动。可以在各种 AWS 服务中使用基于资源的策略来定义此类策略。

 每个 Lambda 函数都扮演一个 IAM 角色，该角色是在部署 Lambda 函数时分配的。此 IAM 角色定义了您的 Lambda 函数可以与之交互的其他 AWS 服务和资源（例如，亚马逊 DynamoDB Amazon S3）。在 Lambda 函数的上下文中，这称为[执行](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)角色。

 

 请勿在 Lambda 函数中存储敏感信息。IAM 通过 Lambda 执行角色处理对 AWS 服务的访问；如果您需要从 Lambda 函数内部访问其他证书（例如数据库凭证和 API 密钥），则可以将 [AWS Key Management Service](https://aws.amazon.com/kms/)(AWS KMS) 与环境变量一起使用，或者使用诸如 Secrets Manager [AWS](https://aws.amazon.com/secrets-manager/)之类的服务在不使用时确保这些信息的安全。