Kebijakan terkelola AWS untuk AWS Lambda

Kebijakan terkelola AWS adalah kebijakan mandiri yang dibuat dan dikelola AWS. Kebijakan terkelola AWS dirancang untuk memberikan izin bagi banyak kasus penggunaan umum agar Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan yang dikelola AWS mungkin tidak memberikan izin hak akses paling rendah untuk kasus penggunaan spesifik Anda karena kebijakan ini tersedia untuk digunakan semua pelanggan AWS. Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan yang dikelola AWS. Jika AWS memperbarui izin yang ditentukan dalam sebuah kebijakan yang dikelola AWS, maka pembaruan tersebut akan memengaruhi semua identitas prinsipal (pengguna, grup, dan peran) yang terkait dengan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat sebuah Layanan AWS baru diluncurkan atau operasi API baru tersedia untuk layanan yang sudah ada.

Untuk informasi selengkapnya, lihat Kebijakan yang dikelola AWS dalam Panduan Pengguna IAM.

AWSkebijakan terkelola: AWSLambda_FullAccess

Kebijakan ini memberikan akses penuh ke tindakan Lambda. Ini juga memberikan izin ke AWS layanan lain yang digunakan untuk mengembangkan dan memelihara sumber daya Lambda.

Anda dapat melampirkan AWSLambda_FullAccess kebijakan ke pengguna, grup, dan peran Anda.

Detail izin

Kebijakan ini mencakup izin berikut:

• lambda— Memungkinkan kepala sekolah akses penuh ke Lambda.

• cloudformation— Memungkinkan kepala sekolah untuk menggambarkan AWS CloudFormation tumpukan dan daftar sumber daya di tumpukan tersebut.

• cloudwatch— Memungkinkan kepala sekolah untuk mencantumkan metrik Amazon dan mendapatkan CloudWatch data metrik.

• ec2— Memungkinkan kepala sekolah untuk menggambarkan kelompok keamanan, subnet, dan VPC.

• iam— Memungkinkan prinsipal untuk mendapatkan kebijakan, versi kebijakan, peran, kebijakan peran, kebijakan peran terlampir, dan daftar peran. Kebijakan ini juga memungkinkan kepala sekolah untuk meneruskan peran ke Lambda. PassRoleIzin digunakan saat Anda menetapkan peran eksekusi ke fungsi.

• kms— Memungkinkan kepala sekolah untuk daftar alias.

• logs— Memungkinkan kepala sekolah untuk menggambarkan grup log Amazon CloudWatch . Untuk grup log yang terkait dengan fungsi Lambda, kebijakan ini memungkinkan prinsipal menjelaskan aliran log, mendapatkan peristiwa log, dan memfilter peristiwa log.

• states— Memungkinkan kepala sekolah untuk mendeskripsikan dan membuat daftar AWS Step Functions mesin negara.

• tag— Memungkinkan prinsipal untuk mendapatkan sumber daya berdasarkan tag mereka.

• xray— Memungkinkan kepala sekolah untuk mendapatkan ringkasan AWS X-Ray jejak dan mengambil daftar jejak yang ditentukan oleh ID.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambda_FullAccessdi Panduan Referensi Kebijakan AWS Terkelola.

AWSkebijakan terkelola: AWSLambda_ReadOnlyAccess

Kebijakan ini memberikan akses hanya-baca ke sumber daya Lambda dan AWS layanan lain yang digunakan untuk mengembangkan dan memelihara sumber daya Lambda.

Anda dapat melampirkan AWSLambda_ReadOnlyAccess kebijakan ke pengguna, grup, dan peran Anda.

Detail izin

Kebijakan ini mencakup izin berikut:

• lambda— Memungkinkan kepala sekolah untuk mendapatkan dan membuat daftar semua sumber daya.

• cloudformation— Memungkinkan kepala sekolah untuk mendeskripsikan dan daftar AWS CloudFormation tumpukan dan daftar sumber daya di tumpukan tersebut.

• cloudwatch— Memungkinkan kepala sekolah untuk mencantumkan metrik Amazon dan mendapatkan CloudWatch data metrik.

• ec2— Memungkinkan kepala sekolah untuk menggambarkan kelompok keamanan, subnet, dan VPC.

• iam— Memungkinkan prinsipal untuk mendapatkan kebijakan, versi kebijakan, peran, kebijakan peran, kebijakan peran terlampir, dan daftar peran.

• kms— Memungkinkan kepala sekolah untuk daftar alias.

• logs— Memungkinkan kepala sekolah untuk menggambarkan grup log Amazon CloudWatch . Untuk grup log yang terkait dengan fungsi Lambda, kebijakan ini memungkinkan prinsipal menjelaskan aliran log, mendapatkan peristiwa log, dan memfilter peristiwa log.

• states— Memungkinkan kepala sekolah untuk mendeskripsikan dan membuat daftar AWS Step Functions mesin negara.

• tag— Memungkinkan prinsipal untuk mendapatkan sumber daya berdasarkan tag mereka.

• xray— Memungkinkan kepala sekolah untuk mendapatkan ringkasan AWS X-Ray jejak dan mengambil daftar jejak yang ditentukan oleh ID.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambda_ReadOnlyAccessdi Panduan Referensi Kebijakan AWS Terkelola.

AWSkebijakan terkelola: AWSLambdaBasicExecutionRole

Kebijakan ini memberikan izin untuk mengunggah log ke CloudWatch Log.

Anda dapat melampirkan AWSLambdaBasicExecutionRole kebijakan ke pengguna, grup, dan peran Anda.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambdaBasicExecutionRoledi Panduan Referensi Kebijakan AWS Terkelola.

AWSkebijakan terkelola: AWSLambdaDynamoDBExecutionRole

Kebijakan ini memberikan izin untuk membaca catatan dari aliran Amazon DynamoDB dan menulis ke Log. CloudWatch

Anda dapat melampirkan AWSLambdaDynamoDBExecutionRole kebijakan ke pengguna, grup, dan peran Anda.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambdaDynamoDBExecutionRoledi Panduan Referensi Kebijakan AWS Terkelola.

AWSkebijakan terkelola: AWSLambdaENIManagementAccess

Kebijakan ini memberikan izin untuk membuat, mendeskripsikan, dan menghapus antarmuka jaringan elastis yang digunakan oleh fungsi Lambda berkemampuan VPC.

Anda dapat melampirkan AWSLambdaENIManagementAccess kebijakan ke pengguna, grup, dan peran Anda.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambdaENIManagementAccessdi Panduan Referensi Kebijakan AWS Terkelola.

AWSkebijakan terkelola: AWSLambdaExecute

Kebijakan ini memberikan PUT dan GET akses ke Amazon Simple Storage Service dan akses penuh ke CloudWatch Log.

Anda dapat melampirkan AWSLambdaExecute kebijakan ke pengguna, grup, dan peran Anda.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambdaExecutedi Panduan Referensi Kebijakan AWS Terkelola.

AWSkebijakan terkelola: AWSLambdaInvocation -DynamoDB

Kebijakan ini memberikan akses baca ke Amazon DynamoDB Streams.

Anda dapat melampirkan AWSLambdaInvocation-DynamoDB kebijakan ke pengguna, grup, dan peran Anda.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambdaInvocation-DynamoDB di Panduan Referensi Kebijakan AWSTerkelola.

AWSkebijakan terkelola: AWSLambdaKinesisExecutionRole

Kebijakan ini memberikan izin untuk membaca peristiwa dari aliran data Amazon Kinesis dan menulis ke Log. CloudWatch

Anda dapat melampirkan AWSLambdaKinesisExecutionRole kebijakan ke pengguna, grup, dan peran Anda.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambdaKinesisExecutionRoledi Panduan Referensi Kebijakan AWS Terkelola.

AWSkebijakan terkelola: AWSLambdaMSKExecutionRole

Kebijakan ini memberikan izin untuk membaca dan mengakses catatan dari klaster Amazon Managed Streaming for Apache Kafka, mengelola antarmuka jaringan elastis, dan menulis ke Log. CloudWatch

Anda dapat melampirkan AWSLambdaMSKExecutionRole kebijakan ke pengguna, grup, dan peran Anda.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambdaMSKExecutionRoledi Panduan Referensi Kebijakan AWS Terkelola.

AWSkebijakan terkelola: AWSLambdaRole

Kebijakan ini memberikan izin untuk menjalankan fungsi Lambda.

Anda dapat melampirkan AWSLambdaRole kebijakan ke pengguna, grup, dan peran Anda.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambdaRoledi Panduan Referensi Kebijakan AWS Terkelola.

AWSkebijakan terkelola: AWSLambdaSQSQueueExecutionRole

Kebijakan ini memberikan izin untuk membaca dan menghapus pesan dari antrian Layanan Antrian Sederhana Amazon, dan memberikan izin menulis ke Log. CloudWatch

Anda dapat melampirkan AWSLambdaSQSQueueExecutionRole kebijakan ke pengguna, grup, dan peran Anda.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambdaSQSQueueExecutionRoledi Panduan Referensi Kebijakan AWS Terkelola.

AWSkebijakan terkelola: AWSLambdaVPCAccessExecutionRole

Kebijakan ini memberikan izin untuk mengelola antarmuka jaringan elastis dalam Amazon Virtual Private Cloud dan menulis ke Log. CloudWatch

Anda dapat melampirkan AWSLambdaVPCAccessExecutionRole kebijakan ke pengguna, grup, dan peran Anda.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON dan versi kebijakan, lihat AWSLambdaVPCAccessExecutionRoledi Panduan Referensi Kebijakan AWS Terkelola.

Lambda memperbarui kebijakan terkelola AWS

Perubahan	Deskripsi	Tanggal
AWSLambdaVPCAccessExecutionRole— Ubah	Lambda memperbarui AWSLambdaVPCAccessExecutionRole kebijakan untuk mengizinkan tindakan. ec2:DescribeSubnets	Januari 5, 2024
AWSLambda_ReadOnlyAccess— Ubah	Lambda memperbarui AWSLambda_ReadOnlyAccess kebijakan untuk mengizinkan prinsipal membuat daftar tumpukan. AWS CloudFormation	Juli 27, 2023
AWS Lambda mulai melacak perubahan	AWS Lambda mulai melacak perubahan untuk kebijakan terkelola AWS	Juli 27, 2023