Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du contrôle d’accès basé sur les attributs dans Lambda
Avec le Contrôle d’accès par attributs (ABAC), vous pouvez utiliser des balises pour contrôler l’accès à vos fonctions Lambda. Vous pouvez associer des balises à certaines ressources Lambda, à certaines demandes d'API ou au principal AWS Identity and Access Management (IAM) émetteur de la demande. Pour plus d'informations sur la manière dont l'accès basé sur les attributs est AWS accordé, consultez la section Contrôle de l'accès aux AWS ressources à l'aide de balises dans le guide de l'utilisateur IAM.
Vous pouvez utiliser ABAC pourAccorder le moindre privilège sans spécifier ni un nom ni un modèle ARN Amazon Resource Name (ARN) dans la stratégie IAM. Au lieu de cela, vous pouvez spécifier une balise dans le champ élément de condition d’une stratégie IAM pour le contrôle de l’accès. La mise à l’échelle est plus facile avec ABAC, car vous n’avez pas à mettre à jour vos politiques IAM lorsque vous créez de nouvelles ressources. Ajoutez plutôt des balises aux nouvelles ressources pour contrôler l’accès.
Dans Lambda, les balises sont utilisées sur les ressources suivantes :
Fonctions : pour plus d’informations sur les fonctions de balisage, voir Utilisation de balises sur les fonctions Lambda.
Configurations de signature de code : pour plus d’informations sur le balisage des configurations de signature de code, voir Utilisation des balises dans les configurations de signature de code.
Mappage des sources d’événements : pour plus d’informations sur le balisage du mappage des sources d’événements, voir Utilisation des balises dans les mappages des sources d’événements.
Les balises ne sont pas prises en charge pour les couches.
Vous pouvez utiliser les clés de condition suivantes pour écrire des règles de politique IAM basées sur les balises :
-
aws : ResourceTag /tag-key : contrôlez l'accès en fonction des balises associées à une ressource Lambda.
-
aws : RequestTag /tag-key : exige la présence de balises dans une demande, par exemple lors de la création d'une nouvelle fonction.
-
aws : PrincipalTag /tag-key : contrôlez ce que le principal IAM (la personne qui fait la demande) est autorisé à faire en fonction des balises associées à son utilisateur ou à son rôle IAM.
-
aws : TagKeys : Contrôle si des clés de balise spécifiques peuvent être utilisées dans une requête.
Vous ne pouvez définir des conditions que pour les actions qui les prennent en charge. Pour obtenir une liste des conditions prises en charge par chaque action Lambda, consultez la rubrique Actions, ressources et clés de condition pour AWS Lambda dans la Référence de l’autorisation de service. Pour la prise en charge d'aws : ResourceTag /tag-key, reportez-vous à « Types de ressources définis par ». AWS Lambda Pour aws : RequestTag /tag-key et aws : TagKeys support, reportez-vous à « Actions définies par ». AWS Lambda