Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos de acceso a recursos de Lambda
Puede utilizar AWS Identity and Access Management (IAM) para administrar el acceso a la API de Lambda y a recursos como las funciones y las capas. Para los usuarios y las aplicaciones de la cuenta que utilizan Lambda, puede crear políticas de IAM que se apliquen a los usuarios, los grupos o los roles.
Cada función de Lambda tiene un rol de IAM llamado rol de ejecución. En este rol, puede adjuntar una política que defina los permisos que la función necesita para acceder a otros servicios y recursos de AWS. Como mínimo, tu función necesita acceder a Amazon CloudWatch Logs para la transmisión de registros. Si la función llama a otras API de servicio con el SDK de AWS, debe incluir los permisos necesarios en la política del rol de ejecución. Lambda también utiliza el rol de ejecución con el fin de obtener permiso para la lectura de orígenes de eventos cuando se utiliza una asignación de orígenes de eventos para invocar la función.
Para dar permiso a otras cuentas y servicios de AWS a fin de utilizar los recursos de Lambda, use una política basada en recursos. Los recursos de Lambda incluyen funciones, versiones, alias y versiones de las capas. Cuando un usuario intenta acceder a un recurso de Lambda, este servicio tiene en cuenta tanto las políticas basadas en identidades como la política basada en recursos del recurso. Cuando un servicio de AWS, como Amazon Simple Storage Service (Amazon S3), llama a la función de Lambda, el servicio considera solo la política basada en recursos.
Para administrar los permisos de los usuarios y las aplicaciones en su cuenta, recomendamos utilizar una política administrada de AWS. Puede utilizar estas políticas administradas tal como están, o como punto de partida para escribir sus propias políticas más restrictivas. Las políticas pueden restringir los permisos de los usuarios por el recurso al que afecta una acción y por condiciones opcionales adicionales. Para obtener más información, consulte Recursos y condición para acciones de Lambda.
Si las funciones de Lambda contienen llamadas a otros recursos de AWS, es posible que también desee restringir qué funciones pueden acceder a esos recursos. Para hacerlo, incluya la clave de condición lambda:SourceFunctionArn en una política basada en identidad de IAM o una política de control de servicio (SCP) para el recurso de destino. Para obtener más información, consulte Uso de las credenciales del entorno de ejecución de Lambda.
Para obtener más información acerca de IAM, consulte la guía del usuario de IAM.
Para obtener más información acerca de cómo aplicar los principios de seguridad a las aplicaciones de Lambda, consulte Security
Temas
