Utilizzo della firma del codice per verificare l'integrità del codice con Lambda - AWS Lambda
Convalida della firma

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della firma del codice per verificare l'integrità del codice con Lambda

La firma del codice consente di garantire che solo il codice attendibile venga eseguito nelle funzioni Lambda. Utilizzando AWS Signer, puoi creare pacchetti di codice con firma digitale per le tue funzioni. Quando aggiungi una configurazione di firma del codice a una funzione, Lambda verifica che tutte le nuove implementazioni di codice siano firmate da una fonte attendibile. Poiché i controlli di convalida della firma del codice vengono eseguiti al momento dell’implementazione, non vi è alcun impatto sull'esecuzione delle funzioni.

Importante

Le configurazioni di firma del codice impediscono solo nuove implementazioni di codice non firmato. Se aggiungi una configurazione di firma del codice a una funzione esistente con codice non firmato, tale codice continua a funzionare finché non distribuisci un nuovo pacchetto di codice.

Quando attivi la firma del codice per una funzione, tutti i livelli aggiunti alla funzione devono essere firmati anche da uno dei profili di firma consentiti.

Non sono previsti costi aggiuntivi per l'utilizzo AWS Signer o la firma del codice. AWS Lambda

Convalida della firma

Lambda esegue i seguenti controlli di convalida quando si distribuisce un pacchetto di codice firmato alla funzione:

  1. Integrità: convalida che il pacchetto di codice non sia stato modificato dopo la firma. Lambda confronta l'hash del pacchetto con l'hash della firma.

  2. Scadenza: convalida che la firma del pacchetto di codice non sia scaduta.

  3. Mancata corrispondenza: convalida che il pacchetto di codice sia firmato con un profilo di firma consentiti.

  4. Revoca: convalida che la firma del pacchetto di codice non sia stata revocata.

Quando crei una configurazione di firma del codice, puoi utilizzare il UntrustedArtifactOnDeploymentparametro per specificare come Lambda deve rispondere se i controlli di scadenza, mancata corrispondenza o revoca falliscono. Puoi scegliere una di queste azioni:

  • Warn: è l'impostazione predefinita. Lambda consente l’implementazione del pacchetto di codice, ma emette un avviso. Lambda emette un nuovo CloudWatch parametro Amazon (SignatureValidationErrors) e memorizza anche l'avviso nel registro. CloudTrail

  • Enforce: Lambda emette un avviso (lo stesso dell'azione Warn) e blocca l’implementazione del pacchetto di codice.

Argomenti