Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung von Codesignatur zur Überprüfung der Codeintegrität mit Lambda
AWS Lambda Mithilfe der Codesignatur für können Sie sicherstellen, dass in Ihren Lambda-Funktionen nur vertrauenswürdiger Code ausgeführt wird. Wenn Sie die Codesignatur für eine Funktion aktivieren, überprüft Lambda jede Codebereitstellung und überprüft, ob das Codepaket von einer vertrauenswürdigen Quelle signiert wurde.
Anmerkung
Funktionen, die als Container-Images definiert sind, unterstützen keine Codesignatur.
Um die Codeintegrität zu überprüfen, erstellen Sie mit AWS Signer digital signierte Code-Pakete für Funktionen und Ebenen. Wenn ein Benutzer versucht, ein Code-Paket bereitzustellen, führt Lambda Validierungsprüfungen für das Codepaket durch, bevor es die Bereitstellung akzeptiert. Da die Validierungsprüfungen von Codesignatur zum Zeitpunkt der Bereitstellung ausgeführt werden, gibt es keine Auswirkungen auf die Ausführung der Funktion.
Sie verwenden AWS Signer auch, um Signaturprofile zu erstellen. Sie verwenden ein Signaturprofil, um das signierte Codepaket zu erstellen. Verwenden Sie AWS Identity and Access Management (IAM), um zu steuern, wer Codepakete signieren und Signaturprofile erstellen kann. Weitere Informationen finden Sie unter Authentication and Access Control im AWS -Entwicklerhandbuch.
Lambda-Ebenen folgen demselben signierten Code-Paketformat wie Funktionscode-Pakete. Wenn Sie einer Funktion, für die die Codesignatur von Code aktiviert ist, überprüft Lambda, ob die Ebene von einem zulässigen Signaturprofil signiert wurde. Wenn Sie die Codesignatur für eine Funktion aktivieren, müssen alle Ebenen, die der Funktion hinzugefügt werden, auch von einem der zulässigen Signaturprofile signiert werden.
Sie können die Codesignatur so konfigurieren, dass Änderungen in aufgezeichnet werde AWS CloudTrail. Erfolgreiche und blockierte Bereitstellungen von Funktionen werden CloudTrail mit Informationen zu den Signatur- und Validierungsprüfungen protokolliert.
Für die Nutzung von AWS Signer oder Code Signing for fallen keine zusätzlichen Gebühren an. AWS Lambda
Signaturvalidierung
Lambda führt die folgenden Validierungsprüfungen durch, wenn Sie ein signiertes Codepaket für Ihre Funktion bereitstellen:
-
Integrität – Überprüft, dass das Codepaket seit seiner Unterzeichnung nicht geändert wurde. Lambda vergleicht den Hash des Pakets mit dem Hash aus der Signatur.
-
Ablauf – Bestätigt, dass die Signatur des Codepakets nicht abgelaufen ist.
-
Diskrepanz – Bestätigt, dass das Codepaket mit einem der zulässigen Signaturprofile für die Lambda-Funktion signiert ist. Eine Diskrepanz tritt auch auf, wenn keine Signatur vorhanden ist.
-
Widerruf – Bestätigt, dass die Signatur des Codepakets nicht widerrufen wurde.
Die in der Codesignatur-Konfiguration definierte Richtlinie zur Signaturüberprüfung legt fest, welche der folgenden Aktionen Lambda durchführt, wenn eine der Validierungsprüfungen fehlschlägt:
-
Warnung – Lambda ermöglicht die Bereitstellung des Codepakets, gibt jedoch eine Warnung aus. Lambda gibt eine neue CloudWatch Amazon-Metrik aus und speichert die Warnung auch im CloudTrail Protokoll.
-
Durchsetzung – Lambda gibt eine Warnung aus (wie bei der Warn-Aktion) und blockiert die Bereitstellung des Codepakets.
Sie können die Richtlinie für Ablauf-, Diskrepanz- und Widerrufsvalidierung konfigurieren. Beachten Sie, dass Sie eine Richtlinie für die Integritätsvalidierung nicht konfigurieren können. Schlägt die Integritätsvalidierung fehl, blockiert Lambda die Bereitstellung.
Codesignatur mit Lambda konfigurieren API
Verwenden Sie die folgenden API Operationen AWS SDK, um Codesignaturkonfigurationen mit dem AWS CLI oder zu verwalten:
Verwenden Sie die folgenden API Operationen, um die Codesignaturkonfiguration für eine Funktion zu verwalten: