Conceder a los usuarios acceso a una capa de Lambda
Utilice políticas basadas en identidad para permitir a los usuarios realizar operaciones en las funciones de Lambda. La siguiente política concede a un usuario permiso para crear capas y usarlas con las funciones. Los patrones de recursos permiten al usuario trabajar en cualquier Región de AWS y con cualquier versión de capa, siempre y cuando el nombre de la capa comience con test-
.
ejemplo Política de desarrollo de capas
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublishLayers", "Effect": "Allow", "Action": [ "lambda:PublishLayerVersion" ], "Resource": "arn:aws:lambda:*:*:layer:test-*" }, { "Sid": "ManageLayerVersions", "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": "arn:aws:lambda:*:*:layer:test-*:*" } ] }
También puede hacer obligatorio el uso de capas durante la creación y configuración de funciones con la condición lambda:Layer
. Por ejemplo, puede impedir que los usuarios utilicen capas publicados por otras cuentas. La siguiente política añade una condición a las acciones CreateFunction
y UpdateFunctionConfiguration
para exigir que las capas especificadas procedan de la cuenta 123456789012
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigureFunctions", "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:UpdateFunctionConfiguration" ], "Resource": "*",
"Condition": { "ForAllValues:StringLike": { "lambda:Layer": [ "arn:aws:lambda:*:
} ] }123456789012
:layer:*:*" ] } }
Para asegurarse de que se aplica la condición, compruebe que ninguna otra instrucción conceda al usuario permiso para estas acciones.