Первое решение, которое я бы порекомендовал, - не смешивать производственные и другие рабочие нагрузки в одной учетной записи AWS. Добавьте к этому, не предоставляя учетные данные своих разработчиков и пользователей производственной учетной записи.
Если вы не хотите этого делать, вы можете применить политику ресурсов к функции Lambda, которая запрещает все обычные пользователи IAM разрешают вызывать функцию Lambda. Убедитесь, что ваша политика не запрещает «реальный» источник в вашей производственной системе (например, API Gateway или SQS или S3). Вам также следует запретить пользователям изменять политику ресурсов в функции Lambda.
В качестве альтернативы, если все ваши пользователи IAM управляются в группах IAM, вы можете применить дополнительную групповую политику, которая запрещает все действия в Лямбда-функция АРН. Снова убедитесь, что они не могут изменить групповую политику для удаления этого элемента управления.