View a markdown version of this page

Crittografia dei dati a riposo per AWS Lambda - AWS Lambda

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati a riposo per AWS Lambda

AWS Lambda fornisce sempre la crittografia a riposo per le seguenti risorse:

  • Variabili di ambiente

  • I file che vengono caricati in Lambda, inclusi i pacchetti di implementazione e gli archivi dei livelli

  • Oggetti dei criteri del filtro dello strumento di mappatura dell'origine degli eventi

  • Dati di esecuzione durevoli

Nota

Per le funzioni e i livelli che utilizzano l'archiviazione del codice S3 autogestita, Lambda non archivia una copia del codice sorgente. Il codice rimane nel bucket S3 e la crittografia inattiva del codice sorgente viene gestita dalla configurazione del bucket S3. Lambda utilizzerà KMSKeyArn per crittografare la versione decompressa del pacchetto utilizzata da Lambda per richiamare la funzione. Per ulteriori informazioni, consulta la sezione Protezione dei dati con la crittografia lato server nella Guida per l'utente di Amazon Simple Storage Service.

Facoltativamente, puoi configurare Lambda per utilizzare una chiave gestita dal cliente per crittografare le variabili di ambiente, i pacchetti di distribuzione.zip, gli oggetti dei criteri di filtro e i dati di esecuzione durevoli.

Amazon CloudWatch Logs crittografa AWS X-Ray anche i dati per impostazione predefinita e può essere configurato per utilizzare una chiave gestita dal cliente. Per i dettagli, consulta Crittografa i dati di registro in CloudWatch Logs e Data protection in. AWS X-Ray

Monitoraggio delle chiavi di crittografia per Lambda

Quando utilizzi una chiave gestita AWS KMS dal cliente con Lambda, puoi usare. AWS CloudTrail Gli esempi seguenti sono CloudTrail gli eventi e GenerateDataKey le chiamate effettuate da Lambda per Decrypt accedere ai dati crittografati dalla chiave gestita dal cliente. DescribeKey

Per CloudTrail esempi specifici relativi ai dati di esecuzione durevoli, vediMonitoraggio delle chiavi KMS per funzioni durevoli.

Decrypt

Se hai utilizzato una chiave gestita AWS KMS dal cliente per crittografare l'oggetto dei criteri di filtro, Lambda invia Decrypt una richiesta per tuo conto quando tenti di accedervi in testo semplice (ad esempio, da una chiamata). ListEventSourceMappings L’evento di esempio seguente registra l’operazione Decrypt:

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "AROA123456789EXAMPLE:example", "arn": "arn:aws:sts::123456789012:assumed-role/role-name/example", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA123456789EXAMPLE", "arn": "arn:aws:iam::123456789012:role/role-name", "accountId": "123456789012", "userName": "role-name" }, "attributes": { "creationDate": "2024-05-30T00:45:23Z", "mfaAuthenticated": "false" } }, "invokedBy": "lambda.amazonaws.com" }, "eventTime": "2024-05-30T01:05:46Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "eu-west-1", "sourceIPAddress": "lambda.amazonaws.com", "userAgent": "lambda.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:eu-west-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "encryptionContext": { "aws-crypto-public-key": "ABCD+7876787678+CDEFGHIJKL/888666888999888555444111555222888333111==", "aws:lambda:EventSourceArn": "arn:aws:sqs:eu-west-1:123456789012:sample-source", "aws:lambda:FunctionArn": "arn:aws:lambda:eu-west-1:123456789012:function:sample-function" }, "encryptionAlgorithm": "SYMMETRIC_DEFAULT" }, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb", "readOnly": true, "resources": [ { "accountId": "AWS Internal", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "sessionCredentialFromConsole": "true" }
DescribeKey

Se hai utilizzato una chiave gestita AWS KMS dal cliente per crittografare l'oggetto dei criteri di filtro, Lambda invia DescribeKey una richiesta per tuo conto quando tenti di accedervi (ad esempio, da GetEventSourceMapping una chiamata). L’evento di esempio seguente registra l’operazione DescribeKey:

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "AROA123456789EXAMPLE:example", "arn": "arn:aws:sts::123456789012:assumed-role/role-name/example", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA123456789EXAMPLE", "arn": "arn:aws:iam::123456789012:role/role-name", "accountId": "123456789012", "userName": "role-name" }, "attributes": { "creationDate": "2024-05-30T00:45:23Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-05-30T01:09:40Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "eu-west-1", "sourceIPAddress": "54.240.197.238", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36", "requestParameters": { "keyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb", "readOnly": true, "resources": [ { "accountId": "AWS Internal", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_256_GCM_SHA384", "clientProvidedHostHeader": "kms.eu-west-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
GenerateDataKey

Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare l'oggetto dei criteri di filtro in una UpdateEventSourceMapping chiamata CreateEventSourceMapping o, Lambda invia GenerateDataKey una richiesta per tuo conto per generare una chiave dati per crittografare i criteri di filtro (crittografia a busta). L’evento di esempio seguente registra l’operazione GenerateDataKey:

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "AROA123456789EXAMPLE:example", "arn": "arn:aws:sts::123456789012:assumed-role/role-name/example", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA123456789EXAMPLE", "arn": "arn:aws:iam::123456789012:role/role-name", "accountId": "123456789012", "userName": "role-name" }, "attributes": { "creationDate": "2024-05-30T00:06:07Z", "mfaAuthenticated": "false" } }, "invokedBy": "lambda.amazonaws.com" }, "eventTime": "2024-05-30T01:04:18Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "eu-west-1", "sourceIPAddress": "lambda.amazonaws.com", "userAgent": "lambda.amazonaws.com", "requestParameters": { "numberOfBytes": 32, "keyId": "arn:aws:kms:eu-west-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "encryptionContext": { "aws-crypto-public-key": "ABCD+7876787678+CDEFGHIJKL/888666888999888555444111555222888333111==", "aws:lambda:EventSourceArn": "arn:aws:sqs:eu-west-1:123456789012:sample-source", "aws:lambda:FunctionArn": "arn:aws:lambda:eu-west-1:123456789012:function:sample-function" }, }, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb", "readOnly": true, "resources": [ { "accountId": "AWS Internal", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management" }