本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立 Lambda 的程式碼簽署組態
<a name="configuration-codesigning-create"></a>

若要啟用函數的程式碼簽署，您可以建立*程式碼簽署組態*並將其附加至函數。程式碼簽署組態會定義允許簽署描述檔的清單，以及在任何驗證檢查失敗時要採取的政策動作。

**注意**  
定義為容器映像的函數不支援程式碼簽署。

**Topics**
+ [組態先決條件](#config-codesigning-prereqs)
+ [建立程式碼簽署組態](#config-codesigning-config-console)
+ [啟用函數的程式碼簽署](#config-codesigning-function-console)

## 組態先決條件
<a name="config-codesigning-prereqs"></a>

在您可以設定 Lambda 函數的程式碼簽署之前，請使用 AWS Signer 執行下列動作：
+ 建立一或多個[簽署設定檔](https://docs.aws.amazon.com/signer/latest/developerguide/signing-profiles.html)。
+ 使用簽署設定檔[為函式建立簽署的程式碼套件](https://docs.aws.amazon.com/signer/latest/developerguide/lambda-workflow.html)。

## 建立程式碼簽署組態
<a name="config-codesigning-config-console"></a>

程式碼簽署組態會定義允許的簽署描述檔和簽署驗證政策。

**建立程式碼簽署組態 (主控台)**

1. 開啟 Lambda 主控台中的 [Code signing configurations](https://console.aws.amazon.com/lambda/home#/code-signing-configurations) (程式碼簽署組態) 頁面。

1. 選擇**建立組態**。

1. 針對 **Description (描述)**，輸入組態的描述性名稱。

1. 在 **Signing profiles (簽署描述檔)** 下，可將多達 20 個簽署描述檔新增至組態。

   1. 針對 **Signing profile version ARN (簽署描述檔版本 ARN)**，選擇描述檔版本的 Amazon Resource Name (ARN)，或輸入 ARN。

   1. 若要新增額外的簽署描述檔，選擇 **Add signing profiles (新增簽署描述檔)**。

1. 在 **Signature validation policy (簽署驗證政策)** 下，選擇 **Warn (警告)** 或 **Enforce (強制)**。

1. 選擇**建立組態**。

## 啟用函數的程式碼簽署
<a name="config-codesigning-function-console"></a>

若要為函式啟用程式碼簽署，需將程式碼簽署組態與函式建立關聯。

**重要**  
程式碼簽署組態只能防止新部署未簽署的程式碼。如果將程式碼簽署組態新增至具有未簽署程式碼的現有函式，該程式碼會持續執行，直到您部署新的程式碼套件為止。

**將程式碼簽署組態與函數 (主控台) 關聯**

1. 開啟 Lambda 主控台中的[函數頁面](https://console.aws.amazon.com/lambda/home#/functions)。

1. 選擇您要啟用程式碼簽署的函數。

1. 開啟 **Configuration** (組態) 索引標籤。

1. 向下捲動並選擇**程式碼簽署**。

1. 選擇**編輯**。

1. 在 **Edit code signing (編輯程式碼簽署)** 中，選擇此函數的程式碼簽署組態。

1. 選擇**儲存**。