Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwendung von Codesignatur zur Überprüfung der Codeintegrität mit Lambda
<a name="configuration-codesigning"></a>

Die Codesignatur hilft sicherzustellen, dass nur vertrauenswürdiger Code in Ihren Lambda-Funktionen bereitgestellt wird. Mithilfe AWS Signer können Sie digital signierte Codepakete für Ihre Funktionen erstellen. Wenn Sie einer [Funktion eine Code-Signaturkonfiguration hinzufügen](configuration-codesigning-create.md), überprüft Lambda, ob alle neuen Codebereitstellungen von einer vertrauenswürdigen Quelle signiert sind. Da die Validierungsprüfungen von Codesignatur zum Zeitpunkt der Bereitstellung ausgeführt werden, gibt es keine Auswirkungen auf die Ausführung der Funktion.

**Wichtig**  
Codesignatur-Konfigurationen verhindern nur neue Bereitstellungen von unsigniertem Code. Wenn Sie einer vorhandenen Funktion mit unsigniertem Code eine Codesignatur-Konfiguration hinzufügen, wird dieser Code so lange ausgeführt, bis Sie ein neues Codepaket bereitstellen.

Wenn Sie die Codesignatur für eine Funktion aktivieren, müssen alle [Ebenen](chapter-layers.md), die Sie der Funktion hinzufügen, auch von einem zulässigen Signaturprofil signiert werden.

Es fallen keine zusätzlichen Gebühren für die Verwendung AWS Signer oder Codesignatur für an AWS Lambda.

## Signaturvalidierung
<a name="config-codesigning-valid"></a>

Lambda führt die folgenden Validierungsprüfungen durch, wenn Sie ein signiertes Codepaket für Ihre Funktion bereitstellen:

1. **Integrität**: Überprüft, dass das Codepaket seit seiner Unterzeichnung nicht geändert wurde. Lambda vergleicht den Hash des Pakets mit dem Hash aus der Signatur.

1. **Ablauf**: Bestätigt, dass die Signatur des Codepakets nicht abgelaufen ist.

1. **Diskrepanz**: Bestätigt, dass das Codepaket mit einem der zulässigen Signaturprofil signiert ist.

1. **Widerruf**: Bestätigt, dass die Signatur des Codepakets nicht widerrufen wurde.

Wenn Sie eine Codesignaturkonfiguration erstellen, können Sie den [UntrustedArtifactOnDeployment](https://docs.aws.amazon.com/lambda/latest/api/API_CodeSigningPolicies.html#lambda-Type-CodeSigningPolicies-UntrustedArtifactOnDeployment)Parameter verwenden, um anzugeben, wie Lambda reagieren soll, wenn die Ablauf-, Nichtübereinstimmungs- oder Sperrprüfungen fehlschlagen. Sie können eine der folgenden Aktionen auswählen:
+ `Warn`: Dies ist die Standardeinstellung. Lambda ermöglicht die Bereitstellung des Codepakets, gibt jedoch eine Warnung aus. Lambda gibt eine neue CloudWatch Amazon-Metrik (`SignatureValidationErrors`) aus und speichert die Warnung auch im CloudTrail Protokoll.
+ `Enforce` – Lambda gibt eine Warnung aus (wie bei der `Warn`-Aktion) und blockiert die Bereitstellung des Codepakets.

**Topics**
+ [

## Signaturvalidierung
](#config-codesigning-valid)
+ [

# Erstellen von Codesignatur-Konfigurationen für Lambda
](configuration-codesigning-create.md)
+ [

# Konfigurieren von IAM-Richtlinien für Lambda-Codesignaturkonfigurationen
](config-codesigning-policies.md)
+ [

# Verwendung von Tags in Codesignatur-Konfigurationen
](tags-csc.md)

# Erstellen von Codesignatur-Konfigurationen für Lambda
<a name="configuration-codesigning-create"></a>

Um die Codesignatur für eine Funktion zu aktivieren, erstellen Sie eine *Codesignatur-Konfiguration* und hängen sie an die Funktion an. Eine Codesignatur-Konfiguration definiert eine Liste der zulässigen Signaturprofile und die Richtlinienaktion, die durchgeführt werden soll, wenn eine der Validierungsprüfungen fehlschlägt.

**Anmerkung**  
Funktionen, die als Container-Images definiert sind, unterstützen keine Codesignatur.

**Topics**
+ [

## Voraussetzungen für die Konfiguration
](#config-codesigning-prereqs)
+ [

## Erstellen von Codesignatur-Konfigurationen
](#config-codesigning-config-console)
+ [

## Aktivieren der Codesignatur für eine Funktion
](#config-codesigning-function-console)

## Voraussetzungen für die Konfiguration
<a name="config-codesigning-prereqs"></a>

Bevor Sie die Codesignatur für eine Lambda-Funktion konfigurieren können, verwenden Sie AWS Signer, um Folgendes zu tun:
+ Erstellen Sie mindestens ein [Signaturprofil](https://docs.aws.amazon.com/signer/latest/developerguide/signing-profiles.html).
+ Verwenden Sie ein Signaturprofil, um ein [signiertes Codepaket für Ihre Funktion zu erstellen](https://docs.aws.amazon.com/signer/latest/developerguide/lambda-workflow.html).

## Erstellen von Codesignatur-Konfigurationen
<a name="config-codesigning-config-console"></a>

Mit einer Codesignatur-Konfiguration wird eine Liste der zulässigen Signaturprofile und die Richtlinie für Signaturvalidierung definiert.

**So erstellen Sie eine Codesignatur-Konfiguration (Konsole)**

1. Öffnen Sie die Seite [Codesignatur-Konfigurationen](https://console.aws.amazon.com/lambda/home#/code-signing-configurations) der Lambda-Konsole.

1. Wählen Sie **Konfiguration erstellen**.

1. Geben Sie unter **Description (Beschreibung)** einen aussagekräftigen Namen für die Konfiguration ein.

1. Fügen Sie der Konfiguration unter **Signaturprofile** bis zu 20 Signaturprofile hinzu.

   1. Wählen Sie für **ARN der Signaturprofilversion** den Amazon-Ressourcennamen (ARN) einer Profilversion aus oder geben Sie den ARN ein.

   1. Um ein zusätzliches Signaturprofil hinzuzufügen, wählen Sie **Signaturprofil hinzufügen** aus.

1. Wählen Sie unter **Richtlinie zur Signaturvalidierung** die Option **Warnen** oder **Durchsetzen** aus.

1. Wählen Sie **Konfiguration erstellen**.

## Aktivieren der Codesignatur für eine Funktion
<a name="config-codesigning-function-console"></a>

Um die Codesignatur für eine Funktion zu aktivieren, fügen Sie der Funktion eine Codesignatur-Konfiguration hinzu.

**Wichtig**  
Codesignatur-Konfigurationen verhindern nur neue Bereitstellungen von unsigniertem Code. Wenn Sie einer vorhandenen Funktion mit unsigniertem Code eine Codesignatur-Konfiguration hinzufügen, wird dieser Code so lange ausgeführt, bis Sie ein neues Codepaket bereitstellen.

**So verknüpfen Sie eine Codesignatur-Konfiguration mit einer Funktion (Konsole)**

1. Öffnen Sie die Seite [Funktionen](https://console.aws.amazon.com/lambda/home#/functions) der Lambda-Konsole.

1. Wählen Sie die Funktion aus, für die Sie die Codesignatur aktivieren möchten.

1. Öffnen Sie die Registerkarte **Configuration** (Konfiguration).

1. Scrollen Sie nach unten und wählen Sie **Codesignatur** aus.

1. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie i n **Codesignatur bearbeiten** eine Codesignatur-Konfiguration für diese Funktion aus.

1. Wählen Sie **Speichern**.

# Konfigurieren von IAM-Richtlinien für Lambda-Codesignaturkonfigurationen
<a name="config-codesigning-policies"></a>

Um einem Benutzer die Berechtigung zum Zugriff auf die Lambda-Codesignatur-API-Vorgänge zu erteilen, fügen Sie der Benutzerrichtlinie eine oder mehrere Richtlinienanweisungen bei. Weitere Informationen zu Benutzerrichtlinien finden Sie unter [Identitätsbasierte IAM-Richtlinien für Lambda](access-control-identity-based.md).

Die folgende Beispiel-Richtlinienanweisung gewährt die Berechtigung zum Erstellen, Aktualisieren und Abrufen von Codesignatur-Konfigurationen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "lambda:CreateCodeSigningConfig",
          "lambda:UpdateCodeSigningConfig",
          "lambda:GetCodeSigningConfig"
        ],
      "Resource": "*" 
    }
  ]
}
```

------

Administratoren können den `CodeSigningConfigArn`-Bedingungsschlüssel verwenden, um die Codesignatur-Konfigurationen anzugeben, mit denen Entwickler Ihre Funktionen erstellen oder aktualisieren müssen.

Die folgende Beispielrichtlinienanweisung gewährt die Berechtigung zum Erstellen einer Funktion. Die Richtlinienanweisung enthält eine `lambda:CodeSigningConfigArn`-Bedingung, um die zulässige Konfiguration für die Codesignierung anzugeben. Lambda blockiert `CreateFunction` API-Anfragen, wenn der [CodeSigningConfigArn](https://docs.aws.amazon.com/lambda/latest/api/API_CreateFunction.html#lambda-CreateFunction-request-CodeSigningConfigArn)Parameter fehlt oder nicht mit dem Wert in der Bedingung übereinstimmt.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowReferencingCodeSigningConfig",
      "Effect": "Allow",
      "Action": [
        "lambda:CreateFunction"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "lambda:CodeSigningConfigArn": "arn:aws:lambda:us-east-1:111122223333:code-signing-config:csc-0d4518bd353a0a7c6"
        }
      }
    }
  ]
}
```

------

# Verwendung von Tags in Codesignatur-Konfigurationen
<a name="tags-csc"></a>

Sie können Codesignaturkonfigurationen taggen, um Ihre Ressourcen zu organisieren und zu verwalten. Tags sind frei formulierte Schlüssel-Wert-Paare, die mit Ihren Ressourcen verknüpft sind und von AWS-Services unterstützt werden. Weitere Informationen zu Anwendungsfällen für Tags finden Sie unter [Allgemeine Tagging-Strategien](https://docs.aws.amazon.com//tag-editor/latest/userguide/best-practices-and-strats.html#tag-strategies) im *Tagging AWS Resources and Tag Editor Guide*. 

 Sie können die AWS Lambda API verwenden, um Tags anzuzeigen und zu aktualisieren. Sie können auch Tags anzeigen und aktualisieren, während Sie eine bestimmte Codesignatur-Konfiguration in der Lambda-Konsole verwalten.

**Topics**
+ [

## Erforderliche Berechtigungen zum Arbeiten mit Tags
](#csc-tags-required-permissions)
+ [

## Verwendung von Tags mit der Lambda-Konsole
](#tags-csc-console)
+ [

## Verwenden von Tags mit dem AWS CLI
](#tags-csc-cli)

## Erforderliche Berechtigungen zum Arbeiten mit Tags
<a name="csc-tags-required-permissions"></a>

Um einer AWS Identity and Access Management -(IAM)-Identität (Benutzer, Gruppe oder Rolle) das Lesen oder Setzen von Tags auf einer Ressource zu ermöglichen, gewähren Sie ihr die entsprechenden Berechtigungen:
+ **lambda: ListTags** —Wenn eine Ressource Tags enthält, gewähren Sie diese Berechtigung jedem, der sie aufrufen `ListTags` muss. Für Funktionen mit Tags ist diese Berechtigung auch für `GetFunction` erforderlich.
+ **lambda: TagResource** —Erteilen Sie diese Berechtigung jedem, der bei create ein Tag aufrufen `TagResource` oder ausführen muss.

Optional können Sie erwägen, auch die **lambda: UntagResource** -Berechtigung zu erteilen, um `UntagResource` Aufrufe der Ressource zuzulassen.

Weitere Informationen finden Sie unter [Identitätsbasierte IAM-Richtlinien für Lambda](access-control-identity-based.md).

## Verwendung von Tags mit der Lambda-Konsole
<a name="tags-csc-console"></a>

Sie können die Lambda-Konsole verwenden, um Codesignatur-Konfigurationen mit Tags zu erstellen, Tags zu vorhandenen Codesignatur-Konfigurationen hinzuzufügen und Codesignatur-Konfigurationen nach Tags zu filtern.

**So fügen Sie ein Tag hinzu, wenn Sie eine Codesignatur-Konfiguration erstellen**

1. Öffnen Sie [Codesignatur-Konfigurationen](https://console.aws.amazon.com/lambda/home#/code-signing-configurations) der Lambda-Konsole.

1. Wählen Sie in der Kopfzeile des Inhaltsfensters die Option **Konfiguration erstellen** aus.

1. Richten Sie im Abschnitt oben im Inhaltsbereich Ihre Codesignatur-Konfiguration ein. Weitere Informationen zum Konfigurieren von Codesignatur-Konfigurationen finden Sie unter [Verwendung von Codesignatur zur Überprüfung der Codeintegrität mit Lambda](configuration-codesigning.md).

1. Klicken Sie im Abschnitt **Tags** auf **Neuen Tag hinzufügen**.

1. Geben Sie im Feld **Schlüssel** Ihren Tag-Schlüssel ein. Informationen zu Tagging-Einschränkungen finden Sie unter [Beschränkungen und Anforderungen für die Benennung](https://docs.aws.amazon.com//tag-editor/latest/userguide/best-practices-and-strats.html#id_tags_naming_best_practices) von *Tags im Tagging AWS Resources and Tag Editor Guide*.

1. Wählen Sie **Create configuration** (Konfiguration erstellen).

**So fügen Sie einer vorhandenen Codesignaturkonfiguration ein Tag hinzu**

1. Öffnen Sie [Codesignatur-Konfigurationen](https://console.aws.amazon.com/lambda/home#/code-signing-configurations) der Lambda-Konsole.

1. Wählen Sie den Namen der Codesignatur-Konfiguration aus.

1. Wählen Sie auf den Registerkarten unter dem **Detail**bereich die Option **Tags** aus.

1. Wählen Sie **Tags verwalten** aus.

1. Wählen Sie **Neues Tag hinzufügen** aus.

1. Geben Sie im Feld **Schlüssel** Ihren Tag-Schlüssel ein. Informationen zu Einschränkungen beim Taggen finden Sie unter [Beschränkungen und Anforderungen für die Benennung von Tags im Leitfaden für AWS Tag-Ressourcen](https://docs.aws.amazon.com//tag-editor/latest/userguide/best-practices-and-strats.html#id_tags_naming_best_practices) *und Tag-Editor*.

1. Wählen Sie **Speichern**.

**So filtern Sie Codesignatur-Konfigurationen nach Tags**

1. Öffnen Sie [Codesignatur-Konfigurationen](https://console.aws.amazon.com/lambda/home#/code-signing-configurations) der Lambda-Konsole.

1. Wählen Sie das Suchfeld.

1. Wählen Sie in der Dropdown-Liste Ihr Tag unter der **Tag**-Unterüberschrift aus.

1. Wählen Sie **Verwenden: „Tag-Name“**, um alle Codesignaturkonfigurationen zu sehen, die mit dieser Taste gekennzeichnet sind oder wählen Sie einen **Operator**, um weiter nach Werten zu filtern.

1. Wählen Sie Ihren Tag-Wert aus, um nach einer Kombination aus Tag-Schlüssel und -Wert zu filtern.

Das Suchfeld unterstützt auch die Suche nach Tag-Schlüsseln. Geben Sie den Namen eines Schlüssels ein, um ihn in der Liste zu finden.

## Verwenden von Tags mit dem AWS CLI
<a name="tags-csc-cli"></a>

Mit der Lambda-API können Sie Tags zu vorhandenen Lambda-Ressourcen hinzufügen und entfernen, einschließlich Codesignaturkonfigurationen. Sie können auch Tags hinzufügen, wenn Sie eine Codesignaturkonfiguration erstellen, die es Ihnen ermöglicht, eine Ressource während ihres gesamten Lebenszyklus zu kennzeichnen.

### Aktualisieren von Tags mit dem Lambda-Tag APIs
<a name="tags-csc-api-config"></a>

Sie können Tags für unterstützte Lambda-Ressourcen über die [TagResource](https://docs.aws.amazon.com/lambda/latest/api/API_TagResource.html)und [UntagResource](https://docs.aws.amazon.com/lambda/latest/api/API_UntagResource.html)API-Operationen hinzufügen und entfernen.

Sie können diese Operationen mit der Taste AWS CLI aufrufen. Um Tags einer vorhandenen Ressource hinzuzufügen, verwenden Sie den folgenden `tag-resource`-Befehl. In diesem Beispiel werden zwei Tags hinzugefügt, eines mit dem Schlüssel *Department* und eines mit dem Schlüssel*CostCenter*.

```
aws lambda tag-resource \
--resource arn:aws:lambda:us-east-2:123456789012:resource-type:my-resource \
--tags Department=Marketing,CostCenter=1234ABCD
```

Mit dem Befehl `untag-resource` können Sie Tags entfernen. In diesem Beispiel wird das Tag mit dem Schlüssel entfernt*Department*.

```
aws lambda untag-resource --resource arn:aws:lambda:us-east-1:123456789012:resource-type:resource-identifier \
--tag-keys Department
```

### Hinzufügen von Tags beim Erstellen einer Codesignatur-Konfiguration
<a name="tags-csc-on-create"></a>

Verwenden Sie den [CreateCodeSigningConfig](https://docs.aws.amazon.com//lambda/latest/api/API_CreateCodeSigningConfig.html)API-Vorgang, um eine neue Lambda-Codesignaturkonfiguration mit Tags zu erstellen. Geben Sie den Parameter `Tags` an. Sie können diesen Vorgang mit dem `create-code-signing-config` AWS CLI Befehl und der `--tags` Option aufrufen. Weitere Informationen zum CLI-Befehl finden Sie [create-code-signing-config](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/create-code-signing-config.html)in der *AWS CLI Befehlsreferenz*.

Vergewissern Sie sich vor der Verwendung des `Tags`-Parameters mit `CreateCodeSigningConfig`, dass Ihre Rolle neben den üblichen Berechtigungen, die für diesen Vorgang erforderlich sind, auch die Berechtigung hat, Ressourcen zu taggen. Weitere Informationen zu den Berechtigungen für das Tagging finden Sie unter [Erforderliche Berechtigungen zum Arbeiten mit Tags](#csc-tags-required-permissions).

### Tags mit dem Lambda-Tag anzeigen APIs
<a name="tags-csc-api-view"></a>

Um die Tags anzuzeigen, die auf eine bestimmte Lambda-Ressource angewendet werden, verwenden Sie die `ListTags`-API-Operation. Weitere Informationen finden Sie unter [ListTags](https://docs.aws.amazon.com/lambda/latest/api/API_ListTags.html).

Sie können diesen Vorgang mit dem `list-tags` AWS CLI Befehl aufrufen, indem Sie einen ARN (Amazon Resource Name) angeben.

```
aws lambda list-tags --resource arn:aws:lambda:us-east-1:123456789012:resource-type:resource-identifier
```

### Filtern von Ressourcen nach Tag
<a name="tags-csc-filtering"></a>

Sie können den AWS Resource Groups Tagging API [GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html)API-Vorgang verwenden, um Ihre Ressourcen nach Tags zu filtern. Die `GetResources`-Operation empfängt bis zu 10 Filter, wobei jeder Filter einen Tag-Schlüssel und bis zu 10 Tag-Werte enthält. Sie stellen `GetResources` mit einem `ResourceType` zur Verfügung, um nach bestimmten Ressourcentypen zu filtern.

Sie können diesen Vorgang mit dem `get-resources` AWS CLI Befehl aufrufen. Beispiele für die Verwendung von `get-resources` finden Sie unter [get-resources](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/resourcegroupstaggingapi/get-resources.html#examples) in der *AWS -CLI-Befehlsreferenz*.