Pourquoi Security Hub a-t-il déclenché la conclusion « Les stratégies de fonction Lambda devraient interdire l'accès public » ?
Dernière mise à jour : 25/05/2022
AWS Security Hub contient un type de conclusion similaire au suivant :
« [Lambda.1] Les politiques de fonction Lambda devraient interdire l'accès public »
Comment puis-je corriger ce type de conclusion ?
Brève description
Cette réponse de contrôle échoue si la fonction AWS Lambda est :
- Accessible publiquement.
- Invoquée depuis Amazon Simple Storage Service (Amazon S3) et la politique n'inclut pas de condition pour AWS:SourceAccount.
Solution
Effectuez l'une des actions suivantes :
Mettez à jour la politique pour supprimer les autorisations d'accès public.
-ou-
Ajoutez la condition AWS:SourceAccount à la politique.
Remarque :
- Pour mettre à jour la politique basée sur les ressources, vous devez utiliser l'interface de la ligne de commande AWS (AWS CLI).
- Si vous recevez des erreurs lors de l'exécution de commandes AWS CLI, assurez-vous que vous utilisez la version d'AWS CLI la plus récente.
Suivez les instructions pour afficher la politique basée sur les ressources d'une fonction à l'aide de la console Lambda. Selon votre cas d'utilisation, vous pouvez supprimer ou mettre à jour les autorisations pour la fonction Lambda.
Pour supprimer les autorisations de la fonction Lambda, exécutez la commande remove-permission de l'AWS CLI comme suit :
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
Pour mettre à jour les autorisations de la fonction Lambda, réglez la commande add-permission de l'AWS CLI comme suit :
$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>
Pour vérifier que les autorisations sont supprimées ou mises à jour, répétez les instructions pour afficher la politique basée sur les ressources d'une fonction à l'aide de la console Lambda.
La politique basée sur les ressources devrait maintenant être mise à jour.
Remarque : s'il n'y avait qu'une seule instruction dans la politique, alors celle-ci est vide.
Pour plus d'informations, veuillez consulter Contrôles liés aux bonnes pratiques de sécurité de base AWS.
Informations connexes
Cet article vous a-t-il été utile ?
Avez-vous besoin d'aide pour une question technique ou de facturation ?