コード署名を使用して Lambda でコードの整合性を検証する
コード署名を使用すると、信頼できるコードのみが Lambda 関数にデプロイされるようにできます。AWS Signer を使用すると、関数のデジタル署名付きコードパッケージを作成できます。コード署名の設定を関数に追加すると、Lambda はすべての新しいコードデプロイが信頼できるソースによって署名されていることを検証します。コード署名の検証チェックはデプロイ時に実行されるため、関数の実行に影響しません。
重要
コード署名の設定では、署名なしコードの新規デプロイのみが防止されます。署名なしコードがある既存の関数にコード署名の設定を追加した場合、そのコードは新しいコードパッケージをデプロイするまで実行され続けます。
関数に対してコード署名を有効にする場合、関数に追加するすべてのレイヤーも許可された署名プロファイルによって署名されている必要があります。
AWS Lambda での AWS Signer またはコード署名の使用には、追加料金は発生しません。
署名の検証
ユーザーが署名付きコードパッケージを関数にデプロイすると、Lambda により次の検証チェックが実行されます。
-
整合性: コードパッケージが、署名されてから変更されていないことを検証します。Lambda が、パッケージのハッシュと署名からのハッシュを比較します。
-
有効期限: コードパッケージの署名が有効期限切れになっていないことを検証します。
-
不一致: 許可された署名プロファイルによってコードパッケージが署名されていることを検証します。
-
失効: コードパッケージの署名が取り消されていないことを検証します。
コード署名の設定を作成するときは、UntrustedArtifactOnDeployment パラメータを使用して、有効期限、不一致、または失効のチェックが失敗した場合に Lambda がどのように対応するかを指定できます。以下のいずれかのアクションを選択できます。
-
Warn: これはデフォルトの設定です。Lambda はコードパッケージのデプロイを許可しますが、警告を発行します。Lambda は、新しい Amazon CloudWatch メトリクス (SignatureValidationErrors) を発行し、警告を CloudTrail ログに保存します。 -
Enforce: Lambda は (Warnアクションと同じように) 警告を発行し、コードパッケージのデプロイをブロックします。
