Concetti chiave di sicurezza Autorizzazioni richieste Best practice Fasi successive

Sicurezza e autorizzazioni

Le istanze gestite Lambda utilizzano i provider di capacità come limiti di fiducia. Le funzioni vengono eseguite in contenitori all'interno di queste istanze, ma i contenitori non forniscono un isolamento di sicurezza tra i carichi di lavoro. Tutte le funzioni assegnate allo stesso provider di capacità devono essere considerate affidabili da entrambe le parti.

Concetti chiave di sicurezza

Capacity Provider: il limite di sicurezza che definisce i livelli di fiducia per le funzioni Lambda
Isolamento dei container: i container non sono un limite di sicurezza: non fate affidamento su di essi per la sicurezza tra carichi di lavoro non affidabili
Trust Separation: separa i carichi di lavoro che non sono reciprocamente affidabili utilizzando diversi provider di capacità

Autorizzazioni richieste

PassCapacityProvider Azione

Gli utenti devono essere lambda:PassCapacityProvider autorizzati ad assegnare funzioni ai fornitori di capacità. Questa autorizzazione funge da barriera di sicurezza, garantendo che solo gli utenti autorizzati possano collocare funzioni in fornitori di capacità specifiche.

Gli amministratori degli account controllano quali funzioni possono utilizzare fornitori di capacità specifici tramite l'azione lambda:PassCapacityProvider IAM. Questa azione è necessaria quando:

Creazione di funzioni che utilizzano istanze gestite Lambda
Aggiornamento delle configurazioni delle funzioni per utilizzare un provider di capacità
Implementazione di funzioni tramite infrastruttura come codice

Esempio di politica IAM


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "lambda:PassCapacityProvider",
      "Resource": "arn:aws:lambda:*:*:capacity-provider:trusted-workloads-*"
    }
  ]
}

Ruolo collegato ai servizi

AWS Lambda utilizza il ruolo AWSServiceRoleForLambda collegato ai servizi per gestire le risorse ec2 di Lambda Managed Instances nei tuoi provider di capacità.

Best practice

Separati per livello di fiducia: crea diversi provider di capacità per carichi di lavoro con requisiti di sicurezza diversi
Usa nomi descrittivi: nomina i fornitori di capacità per indicare chiaramente l'uso previsto e il livello di affidabilità (ad esempio,production-trusted) dev-sandbox
Applica il privilegio minimo: concedi PassCapacityProvider le autorizzazioni solo ai fornitori di capacità necessari
Monitora l'utilizzo: AWS CloudTrail da utilizzare per monitorare le assegnazioni e i modelli di accesso dei fornitori di capacità

Fasi successive

Scopri i provider di capacità per le istanze gestite Lambda
Comprendi la scalabilità per le istanze gestite Lambda
Configura la connettività VPC per i tuoi provider di capacità
Consulta le guide specifiche di runtime per Java, Node.js e Python

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Dimensionamento

Ruolo di operatore