Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # `AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK` **Descripción** El `AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK` runbook cifra, en reposo, las variables de entorno de la función ( AWS Lambda Lambda) que especifique mediante una clave AWS Key Management Service (AWS KMS) gestionada por el cliente. Este manual de procedimientos solo debe usarse como referencia para garantizar que las variables de entorno de la función de Lambda estén cifradas de acuerdo con las mejores prácticas de seguridad mínimas recomendadas. Recomendamos cifrar varias funciones con diferentes claves administradas por el cliente. [Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EncryptLambdaEnvironmentVariablesWithCMK) **Tipo de documento** Automatización **Propietario** Amazon **Plataformas** Linux, macOS, Windows **Parámetros** + AutomationAssumeRole Tipo: cadena Descripción: (obligatorio) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. + FunctionName Tipo: cadena Descripción: (obligatorio) el nombre o ARN de la función de Lambda cuyas variables de entorno desea cifrar. + KMSKeyArn Tipo: cadena Descripción: (obligatorio) El ARN de la clave gestionada por el AWS KMS cliente que desea utilizar para cifrar las variables de entorno de la función Lambda. **Permisos de IAM necesarios** El parámetro `AutomationAssumeRole` requiere las siguientes acciones para utilizar el manual de procedimientos correctamente. + `ssm:StartAutomationExecution` + `ssm:GetAutomationExecution` + `lambda:GetFunctionConfiguration ` + `lambda:UpdateFunctionConfiguration` **Pasos de documentos** + `aws:waitForAwsResourceProperty`: espera a que el `LastUpdateStatus` de la propiedad sea `Successful`. + `aws:executeAwsApi`- Cifra las variables de entorno de la función Lambda que especifique en `FunctionName` el parámetro mediante la clave gestionada por AWS KMS el cliente que especifique en `KMSKeyArn` el parámetro. + `aws:assertAwsResourceProperty`: confirma que el cifrado está habilitado en las variables de entorno de la función de Lambda.