本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 安全與許可
<a name="lambda-managed-instances-security"></a>

Lambda 受管執行個體使用**容量提供者做為信任界限**。函數會在這些執行個體內的容器中執行，但容器不提供工作負載之間的安全隔離。指派給相同容量提供者的所有函數都必須相互信任。

## 關鍵安全概念
<a name="lambda-managed-instances-key-security-concepts"></a>
+ **容量提供者**：定義 Lambda 函數信任層級的安全界限
+ **容器隔離**：容器不是安全界限 - 不要依賴它們來確保不受信任工作負載之間的安全
+ **信任分離**：使用不同的容量提供者來分隔不受互信的工作負載

## 所需的許可
<a name="lambda-managed-instances-required-permissions"></a>

### PassCapacityProvider 動作
<a name="lambda-managed-instances-pass-capacity-provider"></a>

使用者需要 `lambda:PassCapacityProvider`許可，才能將函數指派給容量提供者。此許可充當安全閘道，確保只有授權使用者才能在特定容量提供者中放置函數。

帳戶管理員可透過 IAM `lambda:PassCapacityProvider` 動作控制哪些函數可以使用特定容量提供者。以下情況需要此動作：
+ 建立使用 Lambda 受管執行個體的函數
+ 更新函數組態以使用容量提供者
+ 透過基礎設施將函數部署為程式碼

**IAM 政策範例**

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "lambda:PassCapacityProvider",
      "Resource": "arn:aws:lambda:*:*:capacity-provider:trusted-workloads-*"
    }
  ]
}
```

### 服務連結角色
<a name="lambda-managed-instances-service-linked-role"></a>

AWS Lambda 使用`AWSServiceRoleForLambda`服務連結角色來管理容量提供者中的 Lambda 受管執行個體 ec2 資源。

## 最佳實務
<a name="lambda-managed-instances-security-best-practices"></a>

1. **依信任層級分隔**：為具有不同安全需求的工作負載建立不同的容量提供者

1. **使用描述性名稱**：命名容量提供者，以清楚指出其預期用途和信任層級 （例如 `production-trusted`、`dev-sandbox`)

1. **套用最低權限**：僅授予必要容量提供者的`PassCapacityProvider`許可

1. **監控用量**：使用 AWS CloudTrail 監控容量提供者指派和存取模式

## 後續步驟
<a name="lambda-managed-instances-security-next-steps"></a>
+ 了解 [Lambda 受管執行個體的容量提供者](lambda-managed-instances-capacity-providers.md)
+ 了解 [Lambda 受管執行個體的擴展](lambda-managed-instances-scaling.md)
+ [為您的容量提供者設定 VPC 連線](lambda-managed-instances-networking.md)
+ 檢閱 [Java](lambda-managed-instances-java-runtime.md)、[Node.js](lambda-managed-instances-nodejs-runtime.md) 和 [Python](lambda-managed-instances-python-runtime.md) 的執行時間特定指南