Acciones, recursos y claves de condición de AWS Lambda - AWS Identity and Access Management

Acciones, recursos y claves de condición de AWS Lambda

AWS Lambda (prefijo de servicio: lambda) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas de servicios para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Lambda

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddLayerVersionPermission Concede permisos para agregar permisos a la política basada en recursos de una versión de una capa de AWS Lambda. Administración de permisos

layerVersion*

AddPermission Concede permiso para dar a un servicio de AWS u otra cuenta permiso para utilizar una función de AWS Lambda Administración de permisos

function*

lambda:Principal

CreateAlias Concede permiso para crear un alias para una versión de función Lambda Escritura

function*

CreateEventSourceMapping Concede permiso para crear un mapeo entre un origen de eventos y una función de AWS Lambda Escritura

lambda:FunctionArn

CreateFunction Concede permiso para crear una función de AWS Lambda Escritura

function*

lambda:Layer

lambda:VpcIds

lambda:SubnetIds

lambda:SecurityGroupIds

DeleteAlias Concede permiso para eliminar un alias de función de AWS Lambda Escritura

function*

DeleteEventSourceMapping Concede permiso para eliminar un mapeo de origen de eventos de AWS Lambda Escritura

eventSourceMapping*

lambda:FunctionArn

DeleteFunction Concede permiso para eliminar una función de AWS Lambda Escritura

function*

DeleteFunctionConcurrency Concede permiso para eliminar un límite de ejecución simultánea de una función de AWS Lambda Escritura

function*

DeleteFunctionEventInvokeConfig Concede permiso para eliminar la configuración para la invocación asíncrona de una función, versión o alias de AWS Lambda Escritura

function*

DeleteLayerVersion Concede permiso para eliminar una versión de una capa de AWS Lambda Escritura

layerVersion*

DeleteProvisionedConcurrencyConfig Concede permiso para eliminar la configuración de simultaneidad aprovisionada para una función de AWS Lambda Escritura

function alias

function version

DisableReplication [solo permiso] Concede permiso para deshabilitar la replicación para una función de Lambda@Edge Administración de permisos

function*

EnableReplication [solo permiso] Concede permiso para habilitar la replicación para una función Lambda@Edge Administración de permisos

function*

GetAccountSettings Concede permiso para ver detalles sobre los límites y el uso de una cuenta en una región de AWS Lectura
GetAlias Concede permiso para ver detalles sobre un alias de función de AWS Lambda Lectura

function*

GetEventSourceMapping Concede permiso para ver detalles sobre un mapeo de origen de eventos de AWS Lambda Lectura

eventSourceMapping*

lambda:FunctionArn

GetFunction Concede permiso para ver detalles sobre una función de AWS Lambda Lectura

function*

GetFunctionConcurrency Concede permiso para ver detalles sobre la configuración de simultaneidad reservada para una función Lectura

function*

GetFunctionConfiguration Concede permiso para ver detalles sobre la configuración específica de la versión de una función o versión de AWS Lambda Lectura

function*

GetFunctionEventInvokeConfig Concede permiso para ver la configuración de invocación asincrónica de una función, versión o alias Lectura

function*

GetLayerVersion Concede permiso para ver detalles sobre una versión de una capa de AWS Lambda Tenga en cuenta que esta acción también es compatible con la API GetLayerVersionByArn Lectura

layerVersion*

GetLayerVersionPolicy Concede permiso para ver la política basada en recursos para una versión de una capa de AWS Lambda Lectura

layerVersion*

GetPolicy Concede permiso para ver la política basada en recursos para una función, versión o alias de AWS Lambda Lectura

function*

GetProvisionedConcurrencyConfig Concede permiso para ver la configuración de simultaneidad aprovisionada para el alias o la versión de una función de AWS Lambda Lectura

function alias

function version

InvokeAsync (Obsoleto) Concede permiso para invocar una función de forma asíncrona Escritura

function*

InvokeFunction [solo permiso] Concede permiso para invocar una función de AWS Lambda Escritura

function*

ListAliases Concede permiso para recuperar una lista de alias para una función de AWS Lambda List

function*

ListEventSourceMappings Concede permiso para recuperar una lista de mapeos de origen de eventos de AWS Lambda List
ListFunctionEventInvokeConfigs Concede permiso para recuperar una lista de configuraciones para la invocación asíncrona de una función List

function*

ListFunctions Concede permiso para recuperar una lista de funciones de AWS Lambda, con la configuración específica de la versión de cada función List
ListLayerVersions Concede permiso para recuperar una lista de versiones de una capa de AWS Lambda List
ListLayers Concede permiso para recuperar una lista de capas de AWS Lambda, con detalles sobre la última versión de cada capa List
ListProvisionedConcurrencyConfigs Concede permiso para recuperar una lista de configuraciones de simultaneidad aprovisionadas para una función de AWS Lambda List

function*

ListTags Concede permiso para recuperar una lista de etiquetas para una función de AWS Lambda Lectura

function*

ListVersionsByFunction Concede permiso para recuperar una lista de versiones para una función de AWS Lambda List

function*

PublishLayerVersion Concede permiso para crear una capa de AWS Lambda Escritura

layer*

PublishVersion Concede permiso para crear una versión de función de AWS Lambda Escritura

function*

PutFunctionConcurrency Concede permiso para configurar la simultaneidad reservada para una función de AWS Lambda Escritura

function*

PutFunctionEventInvokeConfig Concede permiso para configurar opciones para la invocación asíncrona en una función, versión o alias de AWS Lambda Escritura

function*

PutProvisionedConcurrencyConfig Concede permiso para configurar la simultaneidad aprovisionada para el alias o la versión de una función de AWS Lambda Escritura

function alias

function version

RemoveLayerVersionPermission Concede permiso para quitar una instrucción de la política de permisos para una versión de una capa de AWS Lambda Administración de permisos

layerVersion*

RemovePermission Concede permiso para revocar el permiso de uso de funciones de un servicio de AWS u otra cuenta Administración de permisos

function*

lambda:Principal

TagResource Concede permiso para agregar etiquetas a una función de AWS Lambda Escritura

function*

UntagResource Concede permiso para eliminar etiquetas de una función de AWS Lambda Escritura

function*

UpdateAlias Concede permiso para actualizar la configuración del alias de una función de AWS Lambda Escritura

function*

UpdateEventSourceMapping Concede permiso para actualizar la configuración de un mapeo de origen de eventos de AWS Lambda Escritura

eventSourceMapping*

lambda:FunctionArn

UpdateFunctionCode Concede permiso para actualizar el código de una función de AWS Lambda Escritura

function*

UpdateFunctionConfiguration Concede permiso para modificar la configuración específica de la versión de una función de AWS Lambda Escritura

function*

lambda:Layer

lambda:VpcIds

lambda:SubnetIds

lambda:SecurityGroupIds

UpdateFunctionEventInvokeConfig Concede permiso para modificar la configuración para la invocación asíncrona de una función, versión o alias de AWS Lambda Escritura

function*

Tipos de recurso definidos por AWS Lambda

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
function arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}
function version arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}:${Version}
function alias arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}:${Alias}
layer arn:${Partition}:lambda:${Region}:${Account}:layer:${LayerName}
layerVersion arn:${Partition}:lambda:${Region}:${Account}:layer:${LayerName}:${LayerVersion}
eventSourceMapping arn:${Partition}:lambda:${Region}:${Account}:event-source-mapping:${UUID}

Claves de condición para AWS Lambda

AWS Lambda define las siguientes claves de condiciones que se puede utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
lambda:FunctionArn Filtra el acceso por el ARN de una función de AWS Lambda ARN
lambda:Layer Filtra el acceso por el ARN de una capa de AWS Lambda Cadena
lambda:Principal Filtra el acceso restringiendo la cuenta o servicio de AWS que puede invocar una función Cadena
lambda:SecurityGroupIds Filtra el acceso por el ID de los grupos de seguridad configurados para la función AWS Lambda Cadena
lambda:SubnetIds Filtra el acceso por el ID de las subredes configuradas para la función AWS Lambda Cadena
lambda:VpcIds Filtra el acceso por el ID de la VPC configurada para la función AWS Lambda Cadena