Lambda 리소스 액세스 권한

AWS Identity and Access Management(IAM)를 사용하여 Lambda API 및 리소스(함수 및 계층 등)에 대한 액세스를 관리할 수 있습니다. Lambda를 사용하는 계정에서 사용자와 애플리케이션에 대해 사용자, 그룹, 역할 등에 적용하는 IAM 정책을 만들 수 있습니다.

모든 Lambda 함수에는 다음과 같은 실행 역할이라는 IAM 역할이 있습니다. 이 역할에서 함수가 다른 AWS 서비스 및 리소스에 액세스하는 데 필요한 권한을 정의하는 정책을 연결할 수 있습니다. 최소한 함수는 CloudWatch 로그 스트리밍을 위해 Amazon Logs에 액세스할 수 있어야 합니다. 함수가 AWS SDK를 사용하여 다른 서비스 API를 호출하는 경우의 실행 역할의 정책에 필요한 권한을 포함해야 합니다. 또한 Lambda는 이벤트 소스 매핑을 사용하여 함수를 호출할 때 실행 역할을 사용하여 이벤트 소스를 읽을 수 있는 권한을 얻습니다.

다른 계정과 AWS 서비스에 Lambda 리소스를 사용할 권한을 부여하려면 리소스 기반 정책을 사용합니다. Lambda 리소스는 함수, 버전, 별칭, 계층 버전을 포함합니다. 사용자가 Lambda 리소스에 액세스하려고 하면 Lambda는 사용자의 자격 증명 기반 정책 및 리소스의 리소스 기반 정책을 모두 고려합니다. Amazon Simple Storage Service(Amazon S3 같은 AWS 서비스가 Lambda 함수를 호출하면 Lambda는 리소스 기반 정책만 고려합니다.

계정의 사용자 및 애플리케이션에 대한 권한을 관리하려면 AWS 관리형 정책을 사용하는 것이 좋습니다. 이러한 관리형 정책을 그대로 사용하거나, 이를 바탕으로 보다 제한적인 정책을 직접 만드는 시작점으로 활용할 수 있습니다. 정책은 작업이 영향을 주는 리소스별로 또는 경우에 따라 추가 선택 조건별로 사용자 권한을 제한할 수 있습니다. 자세한 설명은 Lambda 작업에 사용되는 리소스 및 조건 섹션을 참조하세요.

Lambda 함수에 다른 AWS 함수에 대한 호출이 포함된 경우 해당 리소스에 액세스할 수 있는 함수를 제한해야 할 수도 있습니다. 이렇게 하려면 대상 리소스의 IAM 자격 증명 기반 정책 또는 서비스 제어 정책(SCP)의 lambda:SourceFunctionArn 조건 키를 사용하세요. 자세한 설명은 Lambda 실행 환경 자격 증명 작업 섹션을 참조하세요.

IAM에 대한 자세한 내용은 IAM 사용 설명서를 참조하세요.

Lambda 애플리케이션에 보안 원칙을 적용하는 방법에 대한 자세한 내용은 Serverless Land의 Security를 참조하세요.

주제

• Lambda 실행 역할
• Lambda에 대한 자격 증명 기반 IAM 정책
• Lambda 속성 기반 액세스 제어
• Lambda에 리소스 기반 정책 사용
• Lambda 작업에 사용되는 리소스 및 조건
• AWS Lambda 애플리케이션에 대한 권한 경계 사용