Perché Security Hub ha attivato il risultato "Le policy delle funzioni Lambda dovrebbero vietare l'accesso pubblico"?

Ultimo aggiornamento:25/05/2022

La Centrale di sicurezza AWS contiene un tipo di risultato simile al seguente:

"[Lambda.1] Le policy delle funzioni Lambda dovrebbero vietare l'accesso pubblico"

Come posso correggere questo tipo di risultato?

Breve descrizione

Questa risposta di controllo non riesce se la funzione AWS Lambda è:

  • Accessibile pubblicamente.
  • Richiamato dal Servizio di archiviazione semplice Amazon (Amazon S3) e la policy non include una condizione perAWS:SourceAccount.

Risoluzione

Scegli una delle seguenti operazioni:

Aggiorna la policy per rimuovere le autorizzazioni che consentono l'accesso pubblico.

-oppure-

Aggiungi la condizione AWS:SourceAccount alla policy.

Nota:

Segui le istruzioni per visualizzare una policy basata sulle risorse di una funzione utilizzando la console Lambda. A seconda del caso d'uso, è possibile rimuovere o aggiornare le autorizzazioni per la funzione Lambda.

Per rimuovere le autorizzazioni dalla funzione Lambda, esegui il comando remove-permission di AWS CLI come riportato di seguito:

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

Per aggiornare le autorizzazioni per la funzione Lambda, regola il comando add-permission di AWS CLI come riportato di seguito:

$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>

Per verificare che le autorizzazioni siano state rimosse o aggiornate, ripetere le operazioni per visualizzare la policy basata sulle risorse di una funzione utilizzando la console Lambda.

La policy basata sulle risorse dovrebbe ora essere aggiornata.

Nota: se c'era solo una istruzione nella policy, la policy ora sarà vuota.

Per ulteriori informazioni, consulta Controlli sulle best practice di sicurezza di AWS Foundational.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?