O Lambda sempre fornece criptografia do lado do servidor em repouso para pacotes de implantação .zip e detalhes da configuração da função com uma AWS KMS key. Por padrão, o Lambda usa um Chave pertencente à AWS. Se esse comportamento padrão for adequado ao fluxo de trabalho, você não precisará configurar mais nada. A AWS não cobra pelo uso dessa chave.
Se você preferir, pode fornecer uma AWS KMS chave gerenciada pelo cliente. Você pode fazer isso para ter controle sobre a alternância da chave KMS ou para atender aos requisitos de sua organização para gerenciar chaves KMS. Quando você usa uma chave gerenciada pelo cliente, somente os usuários em sua conta com acesso à chave do KMS podem visualizar ou gerenciar o código ou a configuração da função.
As chaves gerenciadas pelo cliente incorrem em cobranças do AWS KMS padrão. Para obter mais informações, consulte Preços do AWS Key Management Service
Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou as APIs do AWS KMS.
Para criar uma chave simétrica gerenciada pelo cliente
Siga as etapas para Criar chaves simétricas do KMS no Guia do desenvolvedor do AWS Key Management Service.
Permissões
Política de chave
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Para obter mais informações, consulte Como alterar uma política de chaves no Guia do desenvolvedor do AWS Key Management Service.
Quando você usa uma chave gerenciada pelo cliente para criptografar um pacote de implantação .zip, o Lambda não adiciona uma concessão à chave. Em vez disso, sua política de chave do AWS KMS deve permitir que o Lambda chame as seguintes operações de API do AWS KMS em seu nome:
O exemplo de política de chave a seguir permite que todas as funções do Lambda na conta 111122223333 chamem as operações do AWS KMS necessárias para a chave gerenciada pelo cliente especificada:
exemplo Política de chave do AWS KMS
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:lambda:FunctionArn": "arn:aws:lambda:us-east-1:111122223333:function:*"
}
}
}
]
}Para obter mais informações sobre solução de problemas de acesso à chave, consulte o Guia do Desenvolvedor do AWS Key Management Service.
Permissões de entidade principal
Quando você usa uma chave gerenciada pelo cliente para criptografar um pacote de implantação .zip, somente as entidades principais com acesso a essa chave podem acessar o pacote de implantação .zip. Por exemplo, as entidades principais que não têm acesso à chave gerenciada pelo cliente não podem baixar o pacote .zip usando o URL pré-assinado do S3 que está incluído na resposta GetFunction. Uma AccessDeniedException é retornada na seção Code da resposta.
exemplo AWS KMS AccessDeniedException
{
"Code": {
"RepositoryType": "S3",
"Error": {
"ErrorCode": "AccessDeniedException",
"Message": "KMS access is denied. Check your KMS permissions. KMS Exception: AccessDeniedException KMS Message: User: arn:aws:sts::111122223333:assumed-role/LambdaTestRole/session is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:us-east-1:111122223333:key/key-id with an explicit deny in a resource-based policy"
},
"SourceKMSKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key-id"
},
...Para obter mais informações sobre permissões para chaves do AWS KMS, consulte Autenticação e controle de acesso do AWS KMS.
Uso de uma chave gerenciada pelo cliente para seu pacote de implantação .zip
Use os seguintes parâmetros de API para configurar as chaves gerenciadas pelo cliente para pacotes de implantação .zip:
-
SourceKMSKeyArn: criptografa o pacote de implantação de origem .zip (o arquivo que você carrega).
-
KMSKeyArn: criptografa variáveis de ambiente e snapshots do Lambda SnapStart.
Quando SourceKMSKeyArn e KMSKeyArn são especificados, o Lambda usa a chave KMSKeyArn para criptografar a versão descompactada do pacote que o Lambda usa para invocar a função. Quando SourceKMSKeyArn é especificado, mas KMSKeyArn não é, o Lambda usa uma Chave gerenciada pela AWS para criptografar a versão descompactada do pacote.
Para adicionar criptografia de chave gerenciada pelo cliente ao criar uma função
Abra a página Funções
do console do Lambda. -
Escolha a opção Criar função.
-
Escolha Author from scratch (Criar do zero) ou Container image (Imagem de contêiner).
-
Em Basic information (Informações básicas), faça o seguinte:
-
Em Function name (Nome da função), insira o nome da função.
-
Em Runtime, escolha a versão da linguagem a ser usada para sua função.
-
-
Expanda Configurações avançadas e selecione Habilitar a criptografia com uma chave do AWS KMS gerenciada pelo cliente.
-
Escolha uma chave gerenciada pelo cliente.
-
Escolha a opção Criar função.
Para remover a criptografia de chave gerenciada pelo cliente ou usar uma chave diferente, você deve carregar o pacote de implantação .zip novamente.
Para adicionar criptografia de chave gerenciada pelo cliente a uma função existente
Abra a página Funções
do console do Lambda. -
Escolha o nome de uma função.
-
No painel do Código-fonte, escolha Carregar de.
-
Escolha o arquivo .zip ou o local do Amazon S3.
-
Faça upload do arquivo ou insira o local do Amazon S3.
-
Escolha Habilitar a criptografia com uma chave do AWS KMS gerenciada pelo cliente.
-
Escolha uma chave gerenciada pelo cliente.
-
Escolha Salvar.
