AWS Lambda 支持使用客户自主管理型密钥 (CMK) 加密 Zip 函数代码构件
AWS Lambda 现在支持使用客户自主管理型密钥(而不是默认的 AWS 自有密钥)加密 Lambda 函数 Zip 代码构件。使用客户创建、拥有和管理的密钥可以满足他们的组织安全和治理要求。
AWS Lambda 因其简单的编程模型、内置事件触发器、自动扩缩和容错功能而被广泛采用。以前,对于存储在 Lambda 内部的配置数据(如函数环境变量和启用 SnapStart 的函数快照),Lambda 支持进行基于客户管理的 AWS Key Management Service (AWS KMS) 密钥加密。通过今天发布的功能,客户可以提供自有密钥来加密 Zip 构件中的函数代码,从而轻松审计或控制对部署在 Lambda 函数中的代码的访问。
在使用 AWS Lambda API、AWS 管理控制台、AWS 命令行界面 (AWS CLI)、AWS SDK、AWS CloudFormation 或 AWS Serverless Application Model (AWS SAM) 创建或更新函数时,客户可以通过提供 KMS 密钥来加密新的或现有的函数 Zip 代码构件。禁用 KMS 密钥后,Lambda 服务和任何使用 GetFunction API 获取部署包的用户将无法再访问使用 Lambda 函数部署的 Zip 构件,从而为客户提供了便捷的撤销控制方法。如果没有提供密钥,Lambda 仍会使用 AWS 管理的加密来确保 Zip 代码构件的安全。
这项功能已在所有提供 Lambda 的 AWS 区域(除中国区域外)推出。要了解更多信息,请访问文档。