为什么 Security Hub 会触发“Lambda 函数策略应禁止公有访问”的调查结果?

上次更新日期:2022 年 5 月 25 日

AWS Security Hub 包含类似于以下内容的调查结果类型:

[Lambda.1] Lambda 函数策略应禁止公有访问

我该如何补救这种调查结果类型?

简短描述

如果 AWS Lambda 函数符合以下条件,则此控制响应将失败:

  • 可公开访问。
  • 从 Amazon Simple Storage Service(Amazon S3)调用,且该策略不包含 AWS:SourceAccount 的条件。

解决方法

执行以下任意一项操作:

更新策略以删除允许公有访问的权限。

-或者-

AWS:SourceAccount 条件添加到策略中。

注意:

按照说明使用 Lambda 控制台查看函数基于资源的策略。根据您的使用案例,您可以删除或更新 Lambda 函数的权限。

要从 Lambda 函数中删除权限,请运行类似于以下内容的 AWS CLI 命令 remove-permission

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

要更新 Lambda 函数的权限,请控制类似于以下内容的 AWS CLI 命令 add-permission

$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>

要验证权限是否已删除或更新,请再次按照说明以使用 Lambda 控制台查看函数基于资源的策略

现在应该更新基于资源的政策。

注意:如果策略中只有一条语句,则该策略为空。

有关更多信息,请参阅 AWS 基础安全最佳实践控制


这篇文章对您有帮助吗?


您是否需要账单或技术支持?