PublicなLambdaのHttpsエンドポイントを生やせなくするIAMポリシー

2022年4月13日

通常のポリシーとしてもSCPとしても。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyLambdaNoauthHttpsEndpoint",
            "Effect": "Deny",
            "Action":[
                "lambda:CreateFunctionUrlConfig",
                "lambda:UpdateFunctionUrlConfig"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "lambda:FunctionUrlAuthType": "AWS_IAM"
                }
            }
        }
    ]
}

認証ありのHTTPSエンドポイントも作成できなくするには以下。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyLambdaHttpsEndpoint",
            "Effect": "Deny",
            "Action":[
                "lambda:CreateFunctionUrlConfig",
                "lambda:UpdateFunctionUrlConfig"
            ],
            "Resource": "*"
        }
    ]
}
IAM

コメントする

メールアドレスが公開されることはありません。