為什麼 Security Hub 會觸發「Lambda 函數原則應禁止公用存取」的發現項目？

簡短描述

如果 AWS Lambda 函數為以下情況，則此控制回應會失敗：

• 可公開存取。
• 從 Amazon Simple Storage Service (Amazon S3) 叫用，且原則未包含 AWS:SourceAccount 的條件。

解決方案

執行以下其中一項：

更新政策，移除允許公開存取的權限。

-或-

把 AWS:SourceAccount 條件加入政策。

備註:

• 若要更新以資源爲基礎的政策，您必須使用 AWS Command Line Interface (AWS CLI)。
• 如果您在執行 AWS CLI 命令時收到錯誤訊息，請確保您使用的是最新版的 AWS CLI。

透過 Lambda 主控台依照說明來檢視以資源爲基礎的政策。根據您的使用案例，您可移除或更新 Lambda 函數的權限。

若要移除 Lambda 函數的權限，請執行類似下列內容的 AWS CLI 命令來移除權限：

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

若要更新 Lambda 函數的權限，請執行類似下列內容的 AWS CLI 命令來新增權限：

$ aws lambda add-permission --function <function-name> --statement-id <new-statement-id> --action lambda:InvokeFunction --principal s3.amazonaws.com --source-account <account-id> --source-arn <bucket-arn>

若要確認權限是否已移除或更新，請重複上述指示，透過 Lambda 主控台檢視以資源爲基礎的函式政策。

現在應該更新以資源爲基礎的政策。

**備註：**如果政策中只有一個陳述式，則該政策為空白。

如需詳細資訊，請參閱 AWS 基礎安全性最佳做法控制項。

---

相關資訊

lambda-function-public-access-prohibited