Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung von Lambda-.zip-Bereitstellungspaketen
AWS Lambda bietet immer serverseitige Verschlüsselung im Ruhezustand für .zip-Bereitstellungspakete und Details zur Funktionskonfiguration mit einem. AWS KMS key Standardmäßig verwendet Lambda einen AWS-eigener Schlüssel. Wenn dieses Standardverhalten zu Ihrem Arbeitsablauf passt, müssen Sie nichts weiter einrichten. AWS berechnet Ihnen keine Gebühren für die Verwendung dieses Schlüssels.
Wenn Sie möchten, können Sie stattdessen einen vom AWS KMS Kunden verwalteten Schlüssel bereitstellen. Sie können dies tun, um die Drehung des KMS-Schlüssels zu steuern oder die Anforderungen Ihrer Organisation für die Verwaltung von KMS-Schlüsseln zu erfüllen. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, können nur Benutzer Ihres Kontos mit Zugriff auf den KMS-Schlüssel den Code oder die Konfiguration der Funktion anzeigen oder verwalten.
Für vom Kunden verwaltete Schlüssel fallen AWS KMS Standardgebühren an. Weitere Informationen finden Sie unter AWS Key Management Service Preise
Erstellen eines kundenseitig verwalteten Schlüssels
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel mithilfe der APIs AWS-Managementkonsole oder erstellen. AWS KMS
Einen symmetrischen kundenverwalteten Schlüssel erstellen
Befolgen Sie die Schritte zur Erstellung symmetrischer Verschlüsselung Erstellung symmetrischer KMS-Schlüssel mit symmetrischer Verschlüsselung im AWS Key Management Service -Entwicklerhandbuch.
Berechtigungen
Schlüsselrichtlinie
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Weitere Informationen finden Sie unter So ändern Sie eine Schlüsselrichtlinie im AWS Key Management Service -Entwicklerhandbuch.
Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, um ein .zip-Bereitstellungspaket zu verschlüsseln, fügt Lambda dem Schlüssel keinen Zuschuss hinzu. Stattdessen muss Ihre AWS KMS Schlüsselrichtlinie es Lambda ermöglichen, die folgenden AWS KMS API-Operationen in Ihrem Namen aufzurufen:
Die folgende Beispielschlüsselrichtlinie ermöglicht es allen Lambda-Funktionen im Konto 111122223333, die erforderlichen AWS KMS Operationen für den angegebenen vom Kunden verwalteten Schlüssel aufzurufen:
Beispiel AWS KMS wichtige Richtlinie
Weitere Informationen zur Fehlerbehebung beim Schlüsselzugriff finden Sie im AWS Key Management Service -Entwicklerhandbuch.
Prinzipalberechtigungen
Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, um ein .zip-Bereitstellungspaket zu verschlüsseln, können nur Prinzipale mit Zugriff auf diesen Schlüssel auf das .zip-Bereitstellungspaket zugreifen. Principals, die keinen Zugriff auf den vom Kunden verwalteten Schlüssel haben, können beispielsweise das .zip-Paket nicht über die vorsignierte S3-URL herunterladen, die in der Antwort enthalten ist. GetFunction Im Abschnitt Code der Antwort wird ein AccessDeniedException zurückgegeben.
Beispiel AWS KMS AccessDeniedException
{ "Code": { "RepositoryType": "S3", "Error": { "ErrorCode": "AccessDeniedException", "Message": "KMS access is denied. Check your KMS permissions. KMS Exception: AccessDeniedException KMS Message: User: arn:aws:sts::111122223333:assumed-role/LambdaTestRole/session is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:us-east-1:111122223333:key/key-id with an explicit deny in a resource-based policy" }, "SourceKMSKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key-id" }, ...
Weitere Informationen zu Berechtigungen für AWS KMS Schlüssel finden Sie unter Authentifizierung und Zugriffskontrolle für. AWS KMS
Verwenden Sie einen vom Kunden verwalteten Schlüssel für Ihr .zip-Bereitstellungspaket
Verwenden Sie die folgenden API-Parameter, um vom Kunden verwaltete Schlüssel für .zip-Bereitstellungspakete zu konfigurieren:
-
SourceKMSKeyArn: Verschlüsselt das Quell-.zip-Bereitstellungspaket (die Datei, die Sie hochladen).
-
KMSKeyArn: Verschlüsselt Umgebungsvariablen und Lambda-Snapshots SnapStart.
-
DurableConfig.KMSKeyArn: Verschlüsselt dauerhafte Ausführungsdaten. Dieser Schlüssel ist unabhängig von der
KMSKeyArnFunktionsebene.
Wenn SourceKMSKeyArn und KMSKeyArn beide angegeben sind, verwendet Lambda den Schlüssel KMSKeyArn, um die entpackte Version des Pakets zu verschlüsseln, das Lambda zum Aufrufen der Funktion verwendet. Wenn SourceKMSKeyArn angegeben ist, aber KMSKeyArn nicht, verwendet Lambda ein Von AWS verwalteter Schlüssel, um die entpackte Version des Pakets zu verschlüsseln.
Anmerkung
Für Funktionen und Ebenen, die selbstverwalteten S3-Codespeicher verwenden, speichert Lambda keine Kopie Ihres Quellcodes. Ihr Code verbleibt in Ihrem S3-Bucket, und die Verschlüsselung Ihres Quellcodes im Ruhezustand wird von Ihrer S3-Bucket-Konfiguration verwaltet. Lambda wird verwendetKMSKeyArn, um die entpackte Version des Pakets zu verschlüsseln, das Lambda zum Aufrufen der Funktion verwendet. Weitere Informationen finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung im Amazon Simple Storage Service-Benutzerhandbuch.