控制高合规性应用程序的 Lambda 运行时更新权限

Lambda 客户通常依赖自动运行时更新来满足修补要求。如果您的应用程序需要严格遵守修补即时性要求，则您可能需要限制对早期运行时版本的使用。您可以使用 AWS Identity and Access Management（IAM）拒绝 AWS 账户中的用户访问 PutRuntimeManagementConfig API 操作，以此限制 Lambda 的运行时管理控件。此操作用于为函数选择运行时更新模式。拒绝访问此操作会导致所有函数默认为 Auto（自动）模式。您可以使用服务控制策略（SCP）在整个组织中应用此限制。如果您必须将函数回滚到早期运行时版本，可根据具体情况授予策略例外。