Pourquoi Security Hub a-t-il déclenché la conclusion « Les stratégies de fonction Lambda devraient interdire l'accès public » ?

Dernière mise à jour : 25/05/2022

AWS Security Hub contient un type de conclusion similaire au suivant :

« [Lambda.1] Les politiques de fonction Lambda devraient interdire l'accès public »

Comment puis-je corriger ce type de conclusion ?

Brève description

Cette réponse de contrôle échoue si la fonction AWS Lambda est :

  • Accessible publiquement.
  • Invoquée depuis Amazon Simple Storage Service (Amazon S3) et la politique n'inclut pas de condition pour AWS:SourceAccount.

Solution

Effectuez l'une des actions suivantes :

Mettez à jour la politique pour supprimer les autorisations d'accès public.

-ou-

Ajoutez la condition AWS:SourceAccount à la politique.

Remarque :

Suivez les instructions pour afficher la politique basée sur les ressources d'une fonction à l'aide de la console Lambda. Selon votre cas d'utilisation, vous pouvez supprimer ou mettre à jour les autorisations pour la fonction Lambda.

Pour supprimer les autorisations de la fonction Lambda, exécutez la commande remove-permission de l'AWS CLI comme suit :

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

Pour mettre à jour les autorisations de la fonction Lambda, réglez la commande add-permission de l'AWS CLI comme suit :

$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>

Pour vérifier que les autorisations sont supprimées ou mises à jour, répétez les instructions pour afficher la politique basée sur les ressources d'une fonction à l'aide de la console Lambda.

La politique basée sur les ressources devrait maintenant être mise à jour.

Remarque : s'il n'y avait qu'une seule instruction dans la politique, alors celle-ci est vide.

Pour plus d'informations, veuillez consulter Contrôles liés aux bonnes pratiques de sécurité de base AWS.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?