Perché Security Hub ha attivato il risultato "Le policy delle funzioni Lambda dovrebbero vietare l'accesso pubblico"?
Ultimo aggiornamento:25/05/2022
La Centrale di sicurezza AWS contiene un tipo di risultato simile al seguente:
"[Lambda.1] Le policy delle funzioni Lambda dovrebbero vietare l'accesso pubblico"
Come posso correggere questo tipo di risultato?
Breve descrizione
Questa risposta di controllo non riesce se la funzione AWS Lambda è:
- Accessibile pubblicamente.
- Richiamato dal Servizio di archiviazione semplice Amazon (Amazon S3) e la policy non include una condizione perAWS:SourceAccount.
Risoluzione
Scegli una delle seguenti operazioni:
Aggiorna la policy per rimuovere le autorizzazioni che consentono l'accesso pubblico.
-oppure-
Aggiungi la condizione AWS:SourceAccount alla policy.
Nota:
- per aggiornare la policy basata sulle risorse, devi utilizzare l'interfaccia della linea di comando AWS (AWS CLI).
- Se ricevi un messaggio di errore durante l'esecuzione dei comandi di AWS CLI, assicurati di utilizzare la versione più recente di AWS CLI.
Segui le istruzioni per visualizzare una policy basata sulle risorse di una funzione utilizzando la console Lambda. A seconda del caso d'uso, è possibile rimuovere o aggiornare le autorizzazioni per la funzione Lambda.
Per rimuovere le autorizzazioni dalla funzione Lambda, esegui il comando remove-permission di AWS CLI come riportato di seguito:
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
Per aggiornare le autorizzazioni per la funzione Lambda, regola il comando add-permission di AWS CLI come riportato di seguito:
$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>
Per verificare che le autorizzazioni siano state rimosse o aggiornate, ripetere le operazioni per visualizzare la policy basata sulle risorse di una funzione utilizzando la console Lambda.
La policy basata sulle risorse dovrebbe ora essere aggiornata.
Nota: se c'era solo una istruzione nella policy, la policy ora sarà vuota.
Per ulteriori informazioni, consulta Controlli sulle best practice di sicurezza di AWS Foundational.
Informazioni correlate
Questo articolo è stato utile?
Hai bisogno di supporto tecnico o per la fatturazione?