Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations d'accès aux ressources Lambda
Vous pouvez utiliser AWS Identity and Access Management (IAM) pour gérer l'accès à l'API et à des ressources Lambda telles les fonctions et les couches. Concernant les utilisateurs et les applications dans votre compte qui utilisent Lambda, vous créez des politiques IAM qui s'appliquent aux utilisateurs, aux groupes ou aux rôles.
Chaque fonction Lambda possède un rôle IAM appelérôle d’exécution. Dans ce rôle, vous pouvez associer une stratégie qui définit les autorisations dont votre fonction a besoin pour accéder à d'autresAWSServices et ressources. Au minimum, votre fonction doit avoir accès à Amazon CloudWatch Logs pour le streaming des logs. Si votre fonction appelle d'autres API de service avec le AWSSDK, vous devez inclure les autorisations nécessaires dans la stratégie du rôle d'exécution. Lambda utilise également le rôle d'exécution pour obtenir l'autorisation de lire à partir de sources d'événements quand vous utilisez un mappage de source d'événement pour appeler votre fonction.
Pour donner à d'autres comptes et à des services AWS l'autorisation d'utiliser vos ressources Lambda, utilisez des stratégies basées sur des ressources. Les ressources Lambda incluent des fonctions, des versions, des alias et des versions de couches. Lorsqu'un utilisateur essaie d'accéder à une ressource Lambda, Lambda prend en compte à la fois les stratégies basées sur l'identité appartenant à l’utilisateur et la stratégie basée sur une ressource appartenant aux ressources. Lorsqu'un service AWS tel qu'Amazon Simple Storage Service (Amazon S3) appelle votre fonction Lambda, Lambda prend uniquement en compte la stratégie basée sur une ressource.
Afin de gérer les autorisations pour les utilisateurs et les applications dans votre compte, nous vous recommandons d'utiliser une AWSstratégie gérée. Vous pouvez utiliser ces stratégies gérées telles quelles ou comme point de départ pour créer des stratégies plus restrictives. Les stratégies peuvent restreindre les autorisations utilisateur en fonction de la ressource affectée par une action et, en fonction de conditions optionnelles. Pour plus d’informations, consultez Ressources et conditions pour les actions Lambda.
Si vos fonctions Lambda contiennent des appels à d'autres ressources AWS, vous pouvez également restreindre les fonctions pouvant accéder à ces ressources. Pour ce faire, incluez la clé de condition lambda:SourceFunctionArn dans une politique IAM basée sur l'identité ou une politique de contrôle des services (SCP) pour la ressource cible. Pour plus d’informations, consultez Utilisation des informations d'identification d'un environnement d'exécution Lambda.
Pour de plus amples informations sur IAM, veuillez consulter le Guide de l'utilisateur IAM.
Pour plus d'informations sur l'application de principes de sécurité aux applications Lambda, Consultez Sécurité
Rubriques
- Rôle d'exécution Lambda
- Politiques IAM basées sur l'identité pour Lambda
- Contrôle d'accès basé sur les attributs pour Lambda
- Utilisation de stratégies basées sur les ressources pour Lambda
- Ressources et conditions pour les actions Lambda
- Utilisation des limites d'autorisations pour les applications AWS Lambda
