Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du contrôle d'accès basé sur les attributs dans Lambda
Avec le contrôle d'accès basé sur les attributs (ABAC), vous pouvez utiliser des balises pour contrôler l'accès à vos ressources Lambda. Vous pouvez associer des tags à certaines ressources Lambda, à certaines API demandes ou au principal AWS Identity and Access Management (IAM) auteur de la demande. Pour plus d'informations sur la manière dont l'accès est AWS accordé en fonction des attributs, consultez la section Contrôle de l'accès aux AWS ressources à l'aide de balises dans le Guide de l'IAMutilisateur.
Vous pouvez l'utiliser ABAC pour accorder le moindre privilège sans spécifier de nom de ressource Amazon (ARN) ou de ARN modèle dans la IAM politique. Au lieu de cela, vous pouvez spécifier une balise dans l'élément condition d'une IAM politique pour contrôler l'accès. La mise à l'échelle est plus facile, ABAC car vous n'avez pas à mettre à jour vos IAM politiques lorsque vous créez de nouvelles ressources. Ajoutez plutôt des balises aux nouvelles ressources pour contrôler l'accès.
Dans Lambda, les balises fonctionnent sur les ressources suivantes :
Fonctions : pour plus d'informations sur les fonctions de balisage, voir,. Utilisation de balises sur les fonctions Lambda
Configurations de signature de code : pour plus d'informations sur le balisage des configurations de signature de code, consultez. Utilisation de balises dans les configurations de signature de code
Mappages de sources d'événements : pour plus d'informations sur le balisage des mappages de sources d'événements, consultez. Utilisation de balises sur les mappages de sources d'événements
Les balises ne sont pas prises en charge pour les couches.
Vous pouvez utiliser les clés de condition suivantes pour écrire des règles IAM de politique basées sur des balises :
-
aws : ResourceTag /tag-key : contrôlez l'accès en fonction des balises associées à une ressource Lambda.
-
aws : RequestTag /tag-key : exige la présence de balises dans une demande, par exemple lors de la création d'une nouvelle fonction.
-
aws : PrincipalTag /tag-key : contrôlez ce que le IAM principal (la personne qui fait la demande) est autorisé à faire en fonction des balises associées à son IAM utilisateur ou à son rôle.
-
aws : TagKeys : Contrôle si des clés de balise spécifiques peuvent être utilisées dans une requête.
Vous ne pouvez définir des conditions que pour les actions qui les soutiennent. Pour obtenir la liste des conditions prises en charge par chaque action Lambda, consultez la section Actions, ressources et clés de condition AWS Lambda dans la référence d'autorisation de service. Pour la prise en charge d'aws : ResourceTag /tag-key, reportez-vous à « Types de ressources définis par ». AWS Lambda Pour aws : RequestTag /tag-key et aws : TagKeys support, reportez-vous à « Actions définies par ». AWS Lambda
Rubriques
