本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# lambda-function-public-access-禁止
<a name="lambda-function-public-access-prohibited"></a>

检查附加到 Lambda 资源的 AWS Lambda 函数策略是否禁止公开访问。如果 Lambda 函数策略允许公开访问，则此规则为 NON\$1COMPLIANT。

**上下文**：如果主体元素为空或包含通配符，则 lambda 函数策略被视为允许公开访问。例如，如果主元素为 `“”` 或。`{“AWS”: “”}`出于安全考虑，不建议授予公开访问权限。限制公开访问有助于您防止未经授权的 Lambda 函数被调用，这可能会危害您的数据或产生不必要的费用。

要限制对您的 Lambda 函数的访问，请指定可以调用这些函数的 IAM 用户、角色或服务的 AWS 账户 IDs 或 Amazon 资源名称 (ARNs)。有关更多信息，请参阅《AWS Lambda 开发人员指南》**中的[向其他账户授予函数访问权](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html#permissions-resource-xaccountinvoke)。

如果从 Amazon S3 调用 Lambda 函数，并且该策略不包含限制公共访问的条件，例如，`AWS:SourceAccount`则此规则也为。 `NON_COMPLIANT`我们建议在存储桶策略中使用 `AWS:SourceAccount` 与其他 S3 条件以获得更精细的访问权限。

**注意**  
若要被视为非公有策略，基于 Lambda 资源的策略必须仅向固定值授予访问权限。这意味着不包含通配符或以下 IAM 策略元素的值：[变量](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html#policy-vars-using-variables)。

**标识符：**LAMBDA\$1FUNCTION\$1PUBLIC\$1ACCESS\$1PROHIBITED

**资源类型：** AWS::Lambda::Function

**触发器类型：** 配置更改

**AWS 区域：**除欧洲（西班牙）、中国（宁夏） AWS 区域之外的所有支持区域

**参数：**

无  

## AWS CloudFormation 模板
<a name="w2aac20c16c17b7e1051c25"></a>

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则，请参阅[使用 AWS CloudFormation 模板创建 AWS Config 托管规则](aws-config-managed-rules-cloudformation-templates.md)。