Concepts de sécurité clés Autorisations nécessaires Bonnes pratiques Étapes suivantes

Sécurité et autorisations

Les instances gérées Lambda utilisent des fournisseurs de capacité comme limites de confiance. Les fonctions s'exécutent dans des conteneurs au sein de ces instances, mais les conteneurs ne fournissent pas d'isolation de sécurité entre les charges de travail. Toutes les fonctions assignées au même fournisseur de capacité doivent être mutuellement fiables.

Concepts de sécurité clés

Fournisseur de capacité : limite de sécurité qui définit les niveaux de confiance pour les fonctions Lambda
Isolation des conteneurs : les conteneurs ne constituent pas une limite de sécurité. Ne vous fiez pas à eux pour assurer la sécurité entre des charges de travail non fiables
Séparation de confiance : Séparez les charges de travail qui ne sont pas mutuellement fiables en utilisant différents fournisseurs de capacité

Autorisations nécessaires

PassCapacityProvider Action

Les utilisateurs doivent être lambda:PassCapacityProvider autorisés à attribuer des fonctions aux fournisseurs de capacité. Cette autorisation agit comme une barrière de sécurité, garantissant que seuls les utilisateurs autorisés peuvent confier des fonctions à des fournisseurs de capacité spécifiques.

Les administrateurs de compte contrôlent les fonctions qui peuvent utiliser des fournisseurs de capacité spécifiques par le biais de l'action lambda:PassCapacityProvider IAM. Cette action est requise lorsque :

Création de fonctions utilisant des instances gérées Lambda
Mettre à jour les configurations des fonctions pour utiliser un fournisseur de capacité
Déploiement de fonctions via une infrastructure sous forme de code

Exemple de politique IAM


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "lambda:PassCapacityProvider",
      "Resource": "arn:aws:lambda:*:*:capacity-provider:trusted-workloads-*"
    }
  ]
}

Rôle lié à un service

AWS Lambda utilise le rôle AWSServiceRoleForLambda lié au service pour gérer les ressources ec2 des instances gérées Lambda auprès de vos fournisseurs de capacité.

Bonnes pratiques

Séparation par niveau de confiance : créez différents fournisseurs de capacité pour les charges de travail ayant des exigences de sécurité différentes
Utiliser des noms descriptifs : nommez les fournisseurs de capacité pour indiquer clairement leur utilisation prévue et leur niveau de confiance (par exempleproduction-trusted,dev-sandbox)
Appliquer le moindre privilège : octroyer PassCapacityProvider des autorisations uniquement aux fournisseurs de capacité nécessaires
Surveiller l'utilisation : AWS CloudTrail à utiliser pour surveiller les attributions des fournisseurs de capacité et les modèles d'accès

Étapes suivantes

En savoir plus sur les fournisseurs de capacité pour les instances gérées Lambda
Comprendre le dimensionnement pour les instances gérées Lambda
Configurez la connectivité VPC pour vos fournisseurs de capacité
Consultez les guides spécifiques à l'exécution pour Java, Node.js et Python

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Mise à l’échelle

Rôle d'opérateur