Permisos de Lambda - AWS Lambda

Permisos de Lambda

Puede utilizar AWS Identity and Access Management (IAM) para administrar el acceso a la API de Lambda y a recursos como las funciones y las capas. Para los usuarios y las aplicaciones de la cuenta que utilizan Lambda, puede crear políticas de IAM que se aplican a los usuarios, grupos o roles de IAM.

Cada función de Lambda tiene un rol de IAM llamado rol de ejecución. En este rol, puede adjuntar una política que defina los permisos que la función necesita para acceder a otros servicios y recursos de AWS. Como mínimo, la función necesita tener acceso a Amazon CloudWatch Logs para el streaming de registros. Si la función llama a otras API de servicio con el SDK de AWS, debe incluir los permisos necesarios en la política del rol de ejecución. Lambda también utiliza el rol de ejecución con el fin de obtener permiso para la lectura de orígenes de eventos cuando se utiliza una asignación de orígenes de eventos para invocar la función.

Para dar permiso a otras cuentas y servicios de AWS a fin de utilizar los recursos de Lambda, use una política basada en recursos. Los recursos de Lambda incluyen funciones, versiones, alias y versiones de las capas. Cuando un usuario intenta acceder a un recurso de Lambda, este servicio tiene en cuenta tanto las políticas basadas en identidades como la política basada en recursos del recurso. Cuando un servicio de AWS, como Amazon Simple Storage Service (Amazon S3), llama a la función de Lambda, el servicio considera solo la política basada en recursos.

Para administrar los permisos de los usuarios y las aplicaciones en su cuenta, recomendamos utilizar una política administrada de AWS. Puede utilizar estas políticas administradas tal como están, o como punto de partida para escribir sus propias políticas más restrictivas. Las políticas pueden restringir los permisos de los usuarios por el recurso al que afecta una acción y por condiciones opcionales adicionales. Para obtener más información, consulte Recursos y condición para acciones de Lambda .

Si las funciones de Lambda contienen llamadas a otros recursos de AWS, es posible que también desee restringir qué funciones pueden acceder a esos recursos. Para ello, incluya la clave de condición lambda:SourceFunctionArn en una política basada en recursos para el recurso de destino. Para obtener más información, consulte Uso de las credenciales del entorno de ejecución de Lambda .

Para obtener más información acerca de IAM, consulte la guía del usuario de IAM.

Para obtener más información acerca de cómo aplicar principios de seguridad a las aplicaciones de Lambda, consulte Seguridad en la Guía del operador de AWS Lambda.