Controlla l'accesso alla funzione Lambda URLs - AWS Lambda
Utilizzo del tipo di autenticazione AWS_IAMUtilizzo del tipo di autenticazione NONEGovernance e controllo degli accessi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla l'accesso alla funzione Lambda URLs

Nota

A partire da ottobre 2025, la nuova funzione URLs richiederà entrambe le lambda:InvokeFunctionUrl autorizzazionilambda:InvokeFunction.

Puoi controllare l'accesso alla tua funzione Lambda URLs utilizzando il AuthTypeparametro combinato con le politiche basate sulle risorse allegate alla tua funzione specifica. La configurazione di questi due componenti determina chi può richiamare o eseguire altre azioni amministrative sull'URL della funzione.

Il parametro AuthType determina il modo in cui Lambda autentica o autorizza le richieste all'URL della funzione. Quando configuri l'URL della funzione, è necessario specificare una delle seguenti opzioni AuthType:

  • AWS_IAM— Lambda utilizza AWS Identity and Access Management (IAM) per autenticare e autorizzare le richieste in base alla policy di identità del principale IAM e alla policy basata sulle risorse della funzione. Scegli questa opzione se desideri che solo gli utenti e i ruoli autenticati invochino la tua funzione utilizzando l'URL della funzione.

  • NONE: Lambda non esegue alcuna autenticazione prima di richiamare la funzione. Tuttavia, la policy basata sulle risorse della funzione è sempre valida e deve concedere l'accesso pubblico prima che l'URL della funzione possa ricevere richieste. Scegli questa opzione per consentire l'accesso pubblico e non autenticato all'URL della funzione.

Per ulteriori approfondimenti sulla sicurezza, puoi utilizzare AWS Identity and Access Management Access Analyzer per ottenere un'analisi completa dell'accesso esterno all'URL della tua funzione. IAM Access Analyzer controlla inoltre le autorizzazioni nuove o aggiornate sulle funzioni Lambda per aiutarti a identificare le autorizzazioni che garantiscono l'accesso pubblico e tra account. Puoi utilizzare IAM Access Analyzer gratuitamente. Per le nozioni di base su IAM Access Analyzer, consulta Utilizzo di AWS IAM Access Analyzer.

Questa pagina contiene esempi di politiche basate sulle risorse per entrambi i tipi di autenticazione e come creare queste politiche utilizzando il funzionamento dell'AddPermissionAPI o la console Lambda. Per informazioni su come richiamare l'URL della funzione dopo aver impostato le autorizzazioni, consulta. Invocare la funzione Lambda URLs

Utilizzo del tipo di autenticazione AWS_IAM

Se scegli il tipo di AWS_IAM autenticazione, gli utenti che devono richiamare l'URL della funzione Lambda devono disporre delle autorizzazioni and. lambda:InvokeFunctionUrl lambda:InvokeFunction A seconda di chi effettua la richiesta di chiamata, potrebbe essere necessario concedere questa autorizzazione utilizzando una politica basata sulle risorse.

Se il principale che effettua la richiesta corrisponde all'URL della funzione, deve disporre delle lambda:InvokeFunction autorizzazioni nella propria politica basata sull'identità oppure avere le autorizzazioni lambda:InvokeFunctionUrl concesse nella politica basata sulle risorse della funzione. Account AWS In altre parole, una politica basata sulle risorse è facoltativa se l'utente dispone già delle autorizzazioni nella propria politica basata sull'identità. lambda:InvokeFunctionUrl lambda:InvokeFunction La valutazione delle politiche segue le regole delineate nella Logica di valutazione delle politiche.

Se il principale che effettua la richiesta si trova in un account diverso, deve disporre sia di una politica basata sull'identità che gli fornisca le autorizzazioni lambda:InvokeFunctionUrl e le lambda:InvokeFunction autorizzazioni concesse in una politica basata sulle risorse sulla funzione che sta tentando di richiamare. La valutazione delle politiche segue le regole descritte in Determinare se è consentita una richiesta tra più account.

La seguente politica basata sulle risorse consente al example ruolo in di richiamare l'URL della funzione associata Account AWS 444455556666 alla funzione. my-function La chiave lambda: InvokedViaFunctionUrl context limita l'azione alle chiamate URL di funzione. lambda:InvokeFunction Ciò significa che il principale deve utilizzare l'URL della funzione per richiamare la funzione. Se non lo includilambda:InvokedViaFunctionUrl, il principale può richiamare la tua funzione tramite altri metodi di invocazione, oltre all'URL della funzione.

Esempio — Politica basata sulle risorse per più account
JSON
{
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::444455556666:role/example"
      },
      "Action": "lambda:InvokeFunctionUrl",
      "Resource": "arn:aws:lambda:us-east-1:123456789012:function:my-function",
      "Condition": {
        "StringEquals": {
          "lambda:FunctionUrlAuthType": "AWS_IAM"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::444455556666:role/example"
      },
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:us-east-1:123456789012:function:my-function",
      "Condition": {
        "Bool": {
          "lambda:InvokedViaFunctionUrl": "true"
        }
      }
    }
  ]
}

È possibile creare questa politica basata sulle risorse tramite la console utilizzando i seguenti passaggi:

Per concedere le autorizzazioni di richiamo URL a un altro account (console)

  1. Aprire la pagina Funzioni della console Lambda.

  2. Scegli il nome della funzione per la quale desideri concedere autorizzazioni di richiamo URL.

  3. Quindi, seleziona la scheda Configuration (Configurazione) e poi Permissions (Autorizzazioni).

  4. In Resource-based policy (Policy basata sulle risorse), scegli Add permissions (Aggiungi autorizzazioni).

  5. Scegli Function URL (URL funzione).

  6. Per il tipo di autenticazione, scegli. AWS_IAM

  7. Inserisci un ID della dichiarazione per la tua dichiarazione politica.

  8. Per Principal, inserisci l'ID dell'account o l'Amazon Resource Name (ARN) dell'utente o del ruolo a cui desideri concedere le autorizzazioni. Ad esempio: 444455556666.

  9. Scegli Save (Salva).

In alternativa, puoi creare questa policy utilizzando i seguenti comandi add-permission AWS Command Line Interface ()AWS CLI. Quando si utilizza il AWS CLI, è necessario aggiungere le lambda:InvokeFunction istruzioni lambda:InvokeFunctionUrl and separatamente. Ad esempio:

aws lambda add-permission --function-name my-function \
  --statement-id UrlPolicyInvokeURL \
  --action lambda:InvokeFunctionUrl \
  --principal 444455556666 \
  --function-url-auth-type AWS_IAM
aws lambda add-permission --function-name my-function \
  --statement-id UrlPolicyInvokeFunction \
  --action lambda:InvokeFunction \
  --principal 444455556666 \
  --invoked-via-function-url

Utilizzo del tipo di autenticazione NONE

Importante

Se il tipo di autenticazione dell'URL della funzione è NONE e si dispone di una politica basata sulle risorse che garantisce l'accesso pubblico, qualsiasi utente non autenticato con l'URL della funzione può richiamare la funzione.

In alcuni casi, potresti volere che l'URL della tua funzione sia pubblico. Ad esempio, potrebbe essere preferibile inviare le richieste effettuate direttamente da un browser Web. Per consentire l'accesso pubblico all'URL della funzione, scegli il tipo di autenticazione NONE.

Se scegli il tipo di autenticazione NONE, Lambda non utilizza IAM per autenticare le richieste all'URL della funzione. Tuttavia, la funzione deve avere una politica basata sulle risorse che consenta e. lambda:InvokeFunctionUrl lambda:InvokeFunction Quando crei un URL di funzione con tipo di autenticazione NONE utilizzando la console o AWS Serverless Application Model (AWS SAM), Lambda crea automaticamente la politica basata sulle risorse per te. Se utilizzi direttamente l'API Lambda AWS CLI AWS CloudFormation, o l'API Lambda, devi aggiungere tu stesso la policy.

Ti consigliamo di includere la chiave lambda: InvokedViaFunctionUrl context nelle politiche basate sulle risorse quando usi il tipo di autenticazione. NONE Questa chiave di contesto garantisce che la funzione possa essere richiamata solo tramite l'URL della funzione e non tramite altri metodi di invocazione.

Tieni presente quanto segue su questa politica:

  • Tutte le entità possono chiamare lambda:InvokeFunctionUrl elambda:InvokeFunction. Ciò significa che chiunque disponga dell'URL della tua funzione può richiamarla.

  • Il valore della chiave della lambda:FunctionUrlAuthType condizione èNONE. Ciò significa che l'informativa consente l'accesso solo quando lo è anche NONE il tipo di autenticazione dell'URL della funzione.

  • La lambda:InvokedViaFunctionUrl condizione garantisce che la funzione possa essere richiamata solo tramite l'URL della funzione e non tramite altri metodi di invocazione.

Esempio — Politica predefinita basata sulle risorse per il tipo di autenticazione NONE
JSON
{
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "FunctionURLAllowPublicAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "lambda:InvokeFunctionUrl",
      "Resource": "arn:aws:lambda:us-east-2:123456789012:function:my-function",
      "Condition": {
        "StringEquals": {
          "lambda:FunctionUrlAuthType": "NONE"
        }
      }
    },
    {
      "Sid": "FunctionURLInvokeAllowPublicAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:us-east-2:123456789012:function:my-function",
      "Condition": {
        "Bool": {
          "lambda:InvokedViaFunctionUrl": "true"
        }
      }
    }
  ]
}
Creare la politica basata sulle risorse utilizzando il AWS CLI

A meno che non utilizzi la console o AWS SAM crei un URL di funzione con tipo di autenticazioneNONE, devi aggiungere tu stesso la politica basata sulle risorse. Utilizzate i seguenti comandi per creare istruzioni per le autorizzazioni e. lambda:InvokeFunctionUrl lambda:InvokeFunction Ogni istruzione deve essere aggiunta in un comando separato.

aws lambda add-permission \
  --function-name UrlTestFunction \
  --statement-id UrlPolicyInvokeURL \
  --action lambda:InvokeFunctionUrl \
  --principal * \
  --function-url-auth-type NONE
aws lambda add-permission \
  --function-name UrlTestFunction \
  --statement-id UrlPolicyInvokeFunction \
  --action lambda:InvokeFunction \
  --principal * \
  --invoked-via-function-url
Nota

Se elimini l'URL della funzione con il tipo di autenticazione NONE, Lambda non elimina automaticamente la policy basata sulle risorse associata. Se desideri eliminare questa policy, dovrai farlo manualmente.

Se la politica basata sulle risorse di una funzione non concede lambda:invokeFunctionUrl lambda:InvokeFunction autorizzazioni, gli utenti riceveranno un codice di errore 403 Forbidden quando cercheranno di richiamare l'URL della funzione. Ciò si verificherà anche se l'URL della funzione utilizza il tipo di autenticazione. NONE

Governance e controllo degli accessi

Oltre ai permessi di invocazione dell'URL della funzione, puoi anche controllare l'accesso alle azioni utilizzate per configurare la funzione. URLs Lambda supporta le seguenti azioni politiche IAM per la funzione: URLs

  • lambda:InvokeFunctionUrl: richiamo di una funzione Lambda utilizzando l'URL della funzione.

  • lambda:CreateFunctionUrlConfig: creazione di un URL della funzione e impostazione del relativo AuthType.

  • lambda:UpdateFunctionUrlConfig: aggiornamento della configurazione dell'URL della funzione e del relativo AuthType.

  • lambda:GetFunctionUrlConfig: visualizzazione dei dettagli dell'URL della funzione.

  • lambda:ListFunctionUrlConfigs: elenco delle configurazioni dell'URL della funzione.

  • lambda:DeleteFunctionUrlConfig: eliminazione dell'URL della funzione.

Per consentire o negare l'accesso all'URL della funzione ad altre AWS entità, includi queste azioni nelle policy IAM. Ad esempio, la seguente politica concede il example ruolo nelle Account AWS 444455556666 autorizzazioni per aggiornare l'URL della funzione per la funzione nell'account. my-function 123456789012

Esempio Policy dell'URL della funzione tra account
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": { 
                "AWS": "arn:aws:iam::444455556666:role/example"
            },
            "Action": "lambda:UpdateFunctionUrlConfig",
            "Resource": "arn:aws:lambda:us-east-2:123456789012:function:my-function"
        }
    ]
}

Chiavi di condizione

Per un controllo granulare degli accessi alla funzione URLs, utilizzate i tasti contestuali delle condizioni. Lambda supporta i seguenti tasti contestuali per la funzione: URLs

  • lambda:FunctionUrlAuthType— Definisce un valore enum che descrive il tipo di autenticazione utilizzato dall'URL della funzione. Il valore può essere AWS_IAM o NONE.

  • lambda:InvokedViaFunctionUrl— Limita l'lambda:InvokeFunctionazione alle chiamate effettuate tramite l'URL della funzione. Ciò garantisce che la funzione possa essere richiamata solo utilizzando l'URL della funzione e non tramite altri metodi di invocazione. Per esempi di politiche basate sulle risorse che utilizzano la chiave di lambda:InvokedViaFunctionUrl contesto, consulta gli esempi in and. Utilizzo del tipo di autenticazione AWS_IAM Utilizzo del tipo di autenticazione NONE

È possibile utilizzare queste chiavi di contesto nelle politiche associate alla propria funzione. Ad esempio, potresti voler limitare chi può apportare modifiche alla configurazione della tua funzione URLs. Per negare tutte le richieste UpdateFunctionUrlConfig a qualsiasi funzione con tipo di autenticazione URL NONE, è possibile definire la seguente policy:

Esempio Policy dell'URL della funzione con rifiuto esplicito
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action":[
                "lambda:UpdateFunctionUrlConfig"
            ],
            "Resource": "arn:aws:lambda:us-east-1:123456789012:function:*",
            "Condition": {
                "StringEquals": {
                    "lambda:FunctionUrlAuthType": "NONE"
                }
            }
        }
    ]
}

Per concedere il example ruolo nelle Account AWS 444455556666 autorizzazioni CreateFunctionUrlConfig e nelle UpdateFunctionUrlConfig richieste sulle funzioni con tipo di autenticazione URLAWS_IAM, puoi definire la seguente politica:

Esempio Policy dell'URL della funzione con permesso esplicito
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": { 
                "AWS": "arn:aws:iam::444455556666:role/example"
            },
            "Action":[
                "lambda:CreateFunctionUrlConfig",
                "lambda:UpdateFunctionUrlConfig"
            ],
            "Resource": "arn:aws:lambda:us-east-1:123456789012:function:*",
            "Condition": {
                "StringEquals": {
                    "lambda:FunctionUrlAuthType": "AWS_IAM"
                }
            }
        }
    ]
}

È inoltre possibile utilizzare questa chiave di condizione in una policy di controllo dei servizi (SCP). Utilizzalo SCPs per gestire le autorizzazioni in un'intera organizzazione in. AWS Organizations Ad esempio, per impedire agli utenti di creare o aggiornare funzioni URLs che utilizzano qualcosa di diverso dal tipo di AWS_IAM autenticazione, utilizza la seguente politica di controllo del servizio:

Esempio SCP dell'URL della funzione con rifiuto esplicito
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action":[
                "lambda:CreateFunctionUrlConfig",
                "lambda:UpdateFunctionUrlConfig"
            ],
            "Resource": "arn:aws:lambda:*:123456789012:function:*",
            "Condition": {
                "StringNotEquals": {
                    "lambda:FunctionUrlAuthType": "AWS_IAM"
                }
            }
        }
    ]
}