Utilisation de politiques gérées par AWS dans le rôle d’exécution - AWS Lambda

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de politiques gérées par AWS dans le rôle d’exécution

Les stratégies gérées par AWS ci-après fournissent les autorisations requises pour utiliser les fonctions Lambda.

Modification Description Date

AWSLambdaMSKExecutionRole – Lambda a ajouté l’autorisation Kafka:DescribeClusterV2 à cette politique.

AWSLambdaMSKExecutionRole accorde des autorisations pour lire et accéder aux enregistrements à partir d’un cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK), gère les interfaces réseau Elastic (ENIS) et écrit sur CloudWatch Logs.

17 juin 2022

AWSLambdaBasicExecutionRole— Lambda a commencé à suivre les modifications apportées à cette stratégie.

AWSLambdaBasicExecutionRoleaccorde des autorisations pour charger les journaux sur CloudWatch.

14 février 2022

AWSLambdaDynamoDBExecutionRole— Lambda a commencé à suivre les modifications apportées à cette stratégie.

AWSLambdaDynamoDBExecutionRoleaccorde des autorisations pour lire des enregistrements à partir d’un flux Amazon DynamoDB et pour écrire sur CloudWatch Logs.

14 février 2022

AWSLambdaKinesisExecutionRole— Lambda a commencé à suivre les modifications apportées à cette stratégie.

AWSLambdaKinesisExecutionRoleaccorde des autorisations pour lire des événements à partir d’un flux Amazon Kinesis et pour écrire sur CloudWatch Logs.

14 février 2022

AWSLambdaMSKExecutionRole— Lambda a commencé à suivre les modifications apportées à cette stratégie.

AWSLambdaMSKExecutionRoleaccorde des autorisations pour lire et accéder aux enregistrements à partir d’un cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK), gère les interfaces réseau Elastic (ENIS) et écrit sur CloudWatch Logs.

14 février 2022

AWSLambdaSQSQueueExecutionRole— Lambda a commencé à suivre les modifications apportées à cette stratégie.

AWSLambdaSQSQueueExecutionRoleautorise à lire un message à partir d’une file d’attente Amazon Simple Queue Service (Amazon SQS) et à écrire dans CloudWatch Logs.

14 février 2022

AWSLambdaVPCAccessExecutionRole— Lambda a commencé à suivre les modifications apportées à cette stratégie.

AWSLambdaVPCAccessExecutionRoleaccorde des autorisations pour gérer les ENI au sein d’un Amazon VPC et écrire dans CloudWatch Logs.

14 février 2022

AWSXRayDaemonWriteAccess— Lambda a commencé à suivre les modifications apportées à cette stratégie.

AWSXRayDaemonWriteAccessaccorde des autorisations pour charger des données de suivi vers X-Ray.

14 février 2022

CloudWatchLambdaInsightsExecutionRolePolicy— Lambda a commencé à suivre les modifications apportées à cette stratégie.

CloudWatchLambdaInsightsExecutionRolePolicy autorisation d’écrire des métriques d’exécution dans CloudWatch Lambda Insights.

14 février 2022

AmazonS3ObjectLambdaExecutionRolePolicy : Lambda a commencé à suivre les modifications apportées à cette stratégie.

AmazonS3ObjectLambdaExecutionRolePolicyaccorde des autorisations pour interagir avec l’objet Lambda d’Amazon Simple Storage Service (Amazon S3) et écrire dans CloudWatch Logs.

14 février 2022

Pour certaines fonctionnalités, la console Lambda tente d’ajouter les autorisations manquantes au rôle d’exécution dans une stratégie gérée par le client. Ces stratégies peuvent être excessivement nombreuses. Afin d’éviter la création de stratégies supplémentaires, ajoutez les stratégies gérées AWS pertinentes au rôle d’exécution avant d’activer les fonctions.

Lorsque vous utilisez un mappage de source d’événement pour appeler votre fonction, Lambda utilise le rôle d’exécution pour lire les données d’événement. Par exemple, un mappage de source d’événement pour Kinesis lit les événements d’un flux de données et les envoie à votre fonction par lots.

Lorsqu’un service endosse un rôle dans votre compte, vous pouvez inclure les clés de contexte de condition globale aws:SourceAccount et aws:SourceArn dans votre politique d’approbation des rôles afin de limiter l’accès au rôle aux seules demandes générées par les ressources attendues. Pour plus d’informations, consultez Prévention du problème de l’adjoint confus entre services pour AWS Security Token Service.

Outre les stratégies gérées par AWS, la console Lambda fournit des modèles permettant de créer une stratégie personnalisée dotée d’autorisations pour d’autres cas d’utilisation. Lorsque vous créez une fonction dans la console Lambda, vous pouvez choisir de créer un nouveau rôle d’exécution doté des autorisations d’un ou plusieurs modèles. Ces modèles s’appliquent également automatiquement lorsque vous créez une fonction à partir d’un plan ou lorsque vous configurez les options qui nécessitent l’accès à d’autres services. Vous trouverez des exemples de modèles dans le référentiel GitHub de ce guide.