Autorisations AWS Lambda - AWS Lambda

Autorisations AWS Lambda

Vous pouvez utiliser AWS Identity and Access Management (IAM) pour gérer l'accès à l'API et à des ressources Lambda telles les fonctions et les couches. Concernant les utilisateurs et les applications dans votre compte qui utilisent Lambda, vous gérez les autorisations dans une stratégie d'autorisations que vous pouvez appliquer aux utilisateurs, aux groupes ou aux rôles IAM. Pour accorder des autorisations à d'autres comptes ou à des services AWS qui utilisent vos ressources Lambda, il convient d'utiliser une stratégie qui s'applique à la ressource elle-même.

Une fonction Lambda est également dotée d'une stratégie, nommée rôle d'exécution, qui lui accorde l'autorisation d'accéder aux services et aux ressources AWS. Au minimum, votre fonction doit pouvoir accéder à Amazon CloudWatch Logs pour la diffusion de journaux. Si vous utilisez AWS X-Ray pour suivre votre fonction, ou si votre fonction accède aux services avec le kit SDK AWS, vous lui accordez l'autorisation de les appeler dans le rôle d'exécution. Lambda utilise également le rôle d'exécution pour obtenir l'autorisation de lire à partir de sources d'événements quand vous utilisez un mappage de source d'événement pour déclencher votre fonction.

Note

Si votre fonction a besoin d'un accès réseau à une ressource telle qu'une base de données relationnelle inaccessible via des API AWS ou Internet, configurez-la pour qu'elle se connecte à votre VPC.

Utilisez des stratégies basées sur une ressource pour donner à d'autres comptes et à des services AWS l'autorisation d'utiliser vos ressources Lambda. Les ressources Lambda incluent des fonctions, des versions, des alias et des versions de couches. Chacune de ces ressources est dotée d'une stratégie d'autorisations qui s'applique en cas d'accès à la ressource, outre les stratégies qui s'appliquent à l'utilisateur. Quand un service AWS tel qu'Amazon S3 appelle votre fonction Lambda, la stratégie basée sur une ressource lui donne accès.

Pour gérer les autorisations pour les utilisateurs et les applications dans vos comptes, utilisez les stratégies gérées fournies par Lambda, ou écrivez vos propres stratégies. La console Lambda utilise plusieurs services afin d'obtenir des informations sur la configuration et les déclencheurs de votre fonction. Vous pouvez utiliser les stratégies gérées telles quelles ou comme point de départ pour créer des stratégies plus restrictives.

Vous pouvez restreindre les autorisations utilisateur en fonction de la ressource affectée par une action et, dans certains cas, en fonction de conditions supplémentaires. Par exemple, vous pouvez spécifier un modèle pour l'ARN (Amazon Resource Name) d'une fonction qui requiert qu'un utilisateur inclue son nom d'utilisateur dans le nom des fonctions qu'il crée. Par ailleurs, vous pouvez ajouter une condition qui nécessite que l'utilisateur configure des fonctions de façon à utiliser une couche spécifique, par exemple pour extraire dans le logiciel de journalisation. Pour connaître les ressources et les conditions prises en charge par chaque action, consultez Ressources et conditions.

Pour plus d'informations sur IAM, consultez Qu'est-ce qu'IAM ? dans le Guide de l'utilisateur IAM.

Pour plus d'informations sur l'application de principes de sécurité aux applications Lambda, Consultez Sécurité dans le Guide de l'opérateur Lambda.