Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zugriffsberechtigungen für Lambda-Ressourcen
Sie können AWS Identity and Access Management (IAM) verwenden, um den Zugriff auf die Lambda-API und -Ressourcen wie Funktionen und Ebenen steuern. Für Benutzer und Anwendungen in Ihrem Konto, die Lambda verwenden, können Sie IAM-Richtlinien erstellen, die für Benutzer, Gruppen oder Rollen gelten.
Jede Lambda-Funktion hat eine IAM-Rolle mit dem Namen Ausführungsrolle. In dieser Rolle können Sie eine Richtlinie anhängen, die die Berechtigungen definiert, die Ihre Funktion für den Zugriff auf andere AWS-Services und -Ressourcen benötigt. Ihre Funktion benötigt mindestens Zugriff auf Amazon CloudWatch Logs für das Protokoll-Streaming. Wenn Ihre Funktion andere Service-APIs mit dem AWS-SDK aufrufen, müssen Sie die erforderlichen Berechtigungen in die Richtlinie der Ausführungsrolle aufnehmen. Lambda verwendet auch die Ausführungsrolle, um die Berechtigung zum Lesen von Ereignisquellen zu erhalten, wenn Sie eine Ereignisquellen-Zuordnung verwenden, um Ihre Funktion aufzurufen.
Um anderen Konten und AWS-Services die Berechtigung zu erteilen, Ihre Lambda-Ressourcen zu verwenden, verwenden Sie eine ressourcenbasierte Richtlinie. Lambda-Ressourcen umfassen Funktionen, Versionen, Aliasnamen und Ebenenversionen. Wenn ein Benutzer versucht, auf eine Lambda-Ressource zuzugreifen, berücksichtigt Lambda sowohl die identitätsbasierten Richtlinien des Benutzers als auch die ressourcenbasierte Richtlinie der Ressource. Wenn ein AWS-Service wie Amazon Simple Storage Service (Amazon S3) Ihre Lambda-Funktion aufruft, berücksichtigt Lambda nur eine ressourcenbasierte Richtlinie.
Um Berechtigungen für Benutzer und Anwendungen in Ihrem Konto zu verwalten, empfehlen wir die Verwendung einer AWS-verwalteten Richtlinie. Sie können diese verwalteten Richtlinien unverändert oder als Ausgangspunkt zum Schreiben Ihrer eigenen restriktiveren Richtlinien verwenden. Richtlinien können Benutzerberechtigungen durch die Ressource einschränken, auf die sich eine Aktion auswirkt, und durch zusätzliche optionale Bedingungen. Weitere Informationen finden Sie unter Ressourcen und Bedingungen für Lambda-Aktionen.
Wenn Ihre Lambda-Funktionen Aufrufe an andere AWS-Ressourcen enthalten, möchten Sie möglicherweise auch einschränken, welche Funktionen auf diese Ressourcen zugreifen können. Dazu nehmen Sie den lambda:SourceFunctionArn-Zustandsschlüssel in eine identitätsbasierte IAM-Richtlinie oder eine Service-Kontrollrichtlinie (SCP) für die Zielressource auf. Weitere Informationen finden Sie unter Arbeiten mit Anmeldeinformationen für die Lambda-Ausführungsumgebung.
Weitere Informationen zu IAM finden Sie im IAM-Benutzerhandbuch.
Weitere Informationen zur Anwendung von Sicherheitsprinzipien auf Lambda-Anwendungen finden Sie bei Serverless Land unter Sicherheit
Themen
