AWS LambdaPermisos de - AWS Lambda

AWS LambdaPermisos de

Puede utilizar AWS Identity and Access Management (IAM) para administrar el acceso a la API de Lambda y a recursos como las funciones y las capas. Para los usuarios y las aplicaciones de la cuenta que utilizan Lambda, puede administrar los permisos en una política de permisos que puede aplicar a los usuarios, grupos o roles de IAM. Para conceder permisos a otras cuentas o servicios de AWS que utilizan recursos de Lambda, se utiliza una política que se aplica al propio recurso.

Una función de Lambda también tiene una política, que se denomina rol de ejecución, que la concede permiso para tener acceso a los servicios y recursos de AWS. Como mínimo, la función necesita tener acceso a Amazon CloudWatch Logs para el streaming de registros. Si usted usar AWS X-Ray para rastrear su función, o su función accede a los servicios con el AWS SDK, le concede permiso para llamarlos en el rol de ejecución. Lambda también utiliza el rol de ejecución para obtener permiso para leer de fuentes de eventos cuando se utiliza un mapeo de fuente de eventos para activar su función.

nota

Si la función necesita acceso de red a un recurso como una base de datos relacional a la que no se tiene acceso a través de las API de AWS o de Internet, configúrela para que se conecte a la VPC.

Use políticas basadas en recursos para darles permiso a otras cuentas y servicios de AWS para utilizar los recursos de Lambda. Los recursos de Lambda incluyen funciones, versiones, alias y versiones de las capas. Cada uno de estos recursos tiene una política de permisos que se aplica cuando se obtiene acceso al recurso, además de las políticas que se aplican al usuario. Cuando un servicio de AWS como Amazon S3 llama a una función de Lambda, la política basada en recursos le concede acceso.

Para administrar los permisos de los usuarios y las aplicaciones en sus cuentas, utilice las políticas administradas que proporciona Lambda o cree las suyas propias. La consola de Lambda utiliza múltiples servicios para obtener información sobre la configuración y los desencadenadores de la función. Puede utilizar las políticas administradas tal como están, o como punto de partida para políticas más restrictivas.

Puede restringir los permisos de usuario por el recurso al que afecta una acción y, en algunos casos, por condiciones adicionales. Por ejemplo, puede especificar un patrón para el nombre de recurso de Amazon (ARN) de una función que requiera que el usuario incluya su nombre de usuario en el nombre de las funciones que cree. Además, puede añadir una condición que requiera que el usuario configure las funciones para que utilicen una capa específica, por ejemplo, para incluir software de registro. Para conocer los recursos y las condiciones compatibles con cada acción, consulte Recursos y condiciones.

Para obtener más información acerca de IAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM.

Para obtener más información acerca de cómo aplicar principios de seguridad a las aplicaciones de Lambda, consulte Seguridad en la Guía del operador de Lambda.