为什么 ARNlike 条件不足以抑制"Lambda function policies should prohibit public access"警告?
0
【以下的问题经过翻译处理】 你好, 我有一个带有以下格式策略的lambda函数:
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:<lambda-arn>",
"Condition": {
"ArnLike": {
"AWS:SourceArn": "arn:aws:s3:::<s3-arn>"
}
在安全中心中,我针对相同的lambda函数有以下关键警告: ‘’‘ Lambda.1 Lambda function policies should prohibit public access ’‘’
经我的理解,此发现希望我也添加“AWS:SourceAccount”帐户条件。但是我的观点是,考虑到我拥有s3存储桶,只有我的存储桶可以调用此lambda函数。如果我始终拥有此存储桶,则安全性与添加源帐户条件一样高。
我的问题是,从安全的角度来看,我是否安全地禁止此警告并继续工作,还是我忽略了某些内容?
谢谢。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 是的,我认为如果您始终拥有您所认识的在“AWS:SourceArn”中指定的 S3,则不太可能发生意外访问。 但是,如果 S3 被错误删除,无关的第三方将能够创建与“AWS:SourceArn”中指定的 S3 相同的 S3。 我认为在出现这种情况时设置“AWS:SourceAccount”很有用。
相关内容
AWS 官方已更新 7 个月前- AWS 官方已更新 2 年前
- AWS 官方已更新 7 个月前
- AWS 官方已更新 1 年前