Tindakan, sumber daya, dan kunci kondisi untuk AWS Lambda - Referensi Otorisasi Layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tindakan, sumber daya, dan kunci kondisi untuk AWS Lambda

AWSLambda (awalan layanan:lambda) menyediakan sumber daya, tindakan, dan kunci konteks kondisi spesifik layanan berikut untuk digunakan dalam kebijakan izin IAM.

Referensi:

Tindakan didefinisikan oleh AWS Lambda

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom tipe sumber daya pada tabel tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang diterapkan kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya bersifat opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.

Tindakan Deskripsi Tingkat akses Jenis sumber daya (*wajib) Kunci kondisi Tindakan bergantung
AddLayerVersionPermission Memberikan izin untuk menambahkan izin ke kebijakan berbasis sumber daya dari lapisan Lambda AWS Manajemen izin

layerVersion*

AddPermission Memberikan izin untuk memberikan AWS layanan atau izin akun lain untuk menggunakan fungsi AWS Lambda Manajemen izin

function*

lambda:Principal

lambda:FunctionUrlAuthType

CreateAlias Memberikan izin untuk membuat alias untuk versi fungsi Lambda Tulis

function*

CreateCodeSigningConfig Memberikan izin untuk membuat konfigurasi penandatanganan AWS kode Lambda Tulis
CreateEventSourceMapping Memberikan izin untuk membuat pemetaan antara sumber daya dan fungsi Lambda AWS Tulis

lambda:FunctionArn

CreateFunction Memberikan izin untuk membuat fungsi AWS Lambda Tulis

function*

iam:PassRole

lambda:Layer

lambda:VpcIds

lambda:SubnetIds

lambda:SecurityGroupIds

lambda:CodeSigningConfigArn

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFunctionUrlConfig Memberikan izin untuk membuat konfigurasi url fungsi untuk fungsi Lambda Tulis

function*

lambda:FunctionUrlAuthType

lambda:FunctionArn

DeleteAlias Memberikan izin untuk menghapus alias fungsi AWS Lambda Tulis

function*

DeleteCodeSigningConfig Memberikan izin untuk menghapus konfigurasi penandatanganan AWS kode Lambda Tulis

code signing config*

DeleteEventSourceMapping Memberikan izin untuk menghapus pemetaan sumber AWS peristiwa Lambda Tulis

eventSourceMapping*

lambda:FunctionArn

DeleteFunction Memberikan izin untuk menghapus fungsi AWS Lambda Tulis

function*

DeleteFunctionCodeSigningConfig Memberikan izin untuk melepaskan konfigurasi penandatanganan kode dari fungsi Lambda AWS Tulis

function*

DeleteFunctionConcurrency Memberikan izin untuk menghapus batas eksekusi bersamaan dari fungsi Lambda AWS Tulis

function*

DeleteFunctionEventInvokeConfig Memberikan izin untuk menghapus konfigurasi untuk pemanggilan asinkron untuk fungsi, versi, atau alias AWS Lambda Tulis

function*

DeleteFunctionUrlConfig Memberikan izin untuk menghapus konfigurasi url fungsi untuk fungsi Lambda Tulis

function*

lambda:FunctionUrlAuthType

lambda:FunctionArn

DeleteLayerVersion Memberikan izin untuk menghapus versi lapisan AWS Lambda Tulis

layerVersion*

DeleteProvisionedConcurrencyConfig Memberikan izin untuk menghapus konfigurasi konkurensi yang disediakan untuk fungsi Lambda AWS Tulis

function alias

function version

DisableReplication[hanya izin] Memberikan izin untuk menonaktifkan replikasi untuk fungsi Lambda @Edge Manajemen izin

function*

EnableReplication[hanya izin] Memberikan izin untuk mengaktifkan replikasi fungsi Lambda @Edge Manajemen izin

function*

GetAccountSettings Memberikan izin untuk melihat detail tentang batas dan penggunaan akun di Wilayah AWS Baca
GetAlias Memberikan izin untuk melihat detail tentang alias fungsi AWS Lambda Baca

function*

GetCodeSigningConfig Memberikan izin untuk melihat detail tentang konfigurasi penandatanganan AWS kode Lambda Baca

code signing config*

GetEventSourceMapping Memberikan izin untuk melihat detail tentang pemetaan sumber AWS daya Lambda Baca

eventSourceMapping*

lambda:FunctionArn

GetFunction Memberikan izin untuk melihat detail tentang fungsi AWS Lambda Baca

function*

GetFunctionCodeSigningConfig Memberikan izin untuk melihat konfigurasi penandatanganan kode yang dilampirkan ke fungsi Lambda AWS Baca

function*

GetFunctionConcurrency Memberikan izin untuk melihat detail tentang konfigurasi konkurensi cadangan untuk suatu fungsi Baca

function*

GetFunctionConfiguration Memberikan izin untuk melihat detail tentang pengaturan spesifik versi atau versi Lambda AWS Baca

function*

GetFunctionEventInvokeConfig Memberikan izin untuk melihat konfigurasi untuk pemanggilan asinkron untuk fungsi, versi, atau alias Baca

function*

GetFunctionUrlConfig Memberikan izin untuk membaca konfigurasi url fungsi untuk fungsi Lambda Baca

function*

lambda:FunctionUrlAuthType

lambda:FunctionArn

GetLayerVersion Memberikan izin untuk melihat detail tentang versi lapisan AWS Lambda. Perhatikan tindakan ini juga mendukung GetLayerVersionByArn API Baca

layerVersion*

GetLayerVersionPolicy Memberikan izin untuk melihat kebijakan berbasis sumber daya untuk versi lapisan Lambda AWS Baca

layerVersion*

GetPolicy Memberikan izin untuk melihat kebijakan, versi, atau alias AWS Lambda Baca

function*

GetProvisionedConcurrencyConfig Memberikan izin untuk melihat konfigurasi konkurensi yang disediakan untuk alias atau versi fungsi AWS Lambda Baca

function alias

function version

GetRuntimeManagementConfig Memberikan izin untuk melihat konfigurasi manajemen runtime dari fungsi Lambda AWS Baca

function*

InvokeAsync Memberikan izin untuk memanggil fungsi secara asinkron (Usang) Tulis

function*

InvokeFunction Memberikan izin untuk menjalankan fungsi Lambda AWS Tulis

function*

lambda:EventSourceToken

InvokeFunctionUrl[hanya izin] Memberikan izin untuk menjalankan fungsi AWS Lambda melalui url Tulis

function*

lambda:FunctionUrlAuthType

lambda:FunctionArn

lambda:EventSourceToken

ListAliases Memberikan izin untuk mengambil daftar alias untuk fungsi Lambda AWS Daftar

function*

ListCodeSigningConfigs Memberikan izin untuk mengambil daftar konfigurasi penandatanganan kode AWS Lambda Daftar
ListEventSourceMappings Memberikan izin untuk mengambil daftar pemetaan sumber acara AWS Lambda Daftar
ListFunctionEventInvokeConfigs Memberikan izin untuk mengambil daftar konfigurasi untuk pemanggilan asinkron untuk suatu fungsi Daftar

function*

ListFunctionUrlConfigs Memberikan izin untuk membaca konfigurasi url fungsi untuk suatu fungsi Daftar

function*

lambda:FunctionUrlAuthType

ListFunctions Memberikan izin untuk mengambil daftar fungsi AWS Lambda, dengan konfigurasi spesifik versi dari setiap fungsi Daftar
ListFunctionsByCodeSigningConfig Memberikan izin untuk mengambil daftar fungsi AWS Lambda dengan konfigurasi penandatanganan kode yang ditetapkan Daftar

code signing config*

ListLayerVersions Memberikan izin untuk mengambil daftar versi lapisan Lambda AWS Daftar
ListLayers Memberikan izin untuk mengambil daftar layer AWS Lambda, dengan detail tentang versi terbaru dari setiap lapisan Daftar
ListProvisionedConcurrencyConfigs Memberikan izin untuk mengambil daftar konfigurasi konkurensi yang disediakan untuk fungsi Lambda AWS Daftar

function*

ListTags Memberikan izin untuk mengambil daftar tag untuk fungsi Lambda AWS Baca

function*

ListVersionsByFunction Memberikan izin untuk mengambil daftar versi untuk fungsi Lambda AWS Daftar

function*

PublishLayerVersion Memberikan izin untuk membuat layer AWS Lambda Tulis

layer*

PublishVersion Memberikan izin untuk membuat versi fungsi AWS Lambda Tulis

function*

PutFunctionCodeSigningConfig Memberikan izin untuk melampirkan konfigurasi penandatanganan kode ke fungsi Lambda AWS Tulis

code signing config*

function*

lambda:CodeSigningConfigArn

PutFunctionConcurrency Memberikan izin untuk mengonfigurasi konkurensi cadangan untuk fungsi Lambda AWS Tulis

function*

PutFunctionEventInvokeConfig Memberikan izin untuk mengonfigurasi opsi untuk pemanggilan asinkron pada fungsi, versi, atau alias Lambda AWS Tulis

function*

PutProvisionedConcurrencyConfig Memberikan izin untuk mengonfigurasi konkurensi yang disediakan untuk alias atau versi fungsi AWS Lambda Tulis

function alias

function version

PutRuntimeManagementConfig Memberikan izin untuk memperbarui konfigurasi manajemen runtime dari fungsi Lambda AWS Tulis

function*

RemoveLayerVersionPermission Memberikan izin untuk menghapus pernyataan dari kebijakan izin untuk versi lapisan Lambda AWS Manajemen izin

layerVersion*

RemovePermission Memberikan izin untuk mencabut izin penggunaan fungsi dari layanan atau akun lain AWS Manajemen izin

function*

lambda:Principal

lambda:FunctionUrlAuthType

TagResource Memberikan izin untuk menambahkan tag ke fungsi AWS Lambda Penandaan

function*

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Memberikan izin untuk menghapus tag dari fungsi AWS Lambda Penandaan

function*

aws:TagKeys

UpdateAlias Memberikan izin untuk memperbarui konfigurasi alias fungsi AWS Lambda Tulis

function*

UpdateCodeSigningConfig Memberikan izin untuk memperbarui konfigurasi penandatanganan AWS kode Lambda Tulis

code signing config*

UpdateEventSourceMapping Memberikan izin untuk memperbarui konfigurasi pemetaan sumber peristiwa AWS Lambda Tulis

eventSourceMapping*

lambda:FunctionArn

UpdateFunctionCode Memberikan izin untuk memperbarui kode fungsi AWS Lambda Tulis

function*

UpdateFunctionCodeSigningConfig Memberikan izin untuk memperbarui konfigurasi penandatanganan kode dari fungsi Lambda AWS Tulis

code signing config*

function*

UpdateFunctionConfiguration Memberikan izin untuk mengubah pengaturan spesifik versi dari fungsi Lambda AWS Tulis

function*

lambda:Layer

lambda:VpcIds

lambda:SubnetIds

lambda:SecurityGroupIds

UpdateFunctionEventInvokeConfig Memberikan izin untuk mengubah konfigurasi untuk pemanggilan asinkron untuk fungsi, versi, atau alias AWS Lambda Tulis

function*

UpdateFunctionUrlConfig Memberikan izin untuk memperbarui konfigurasi url fungsi untuk fungsi Lambda Tulis

function*

lambda:FunctionUrlAuthType

lambda:FunctionArn

Jenis sumber daya ditentukan oleh AWS Lambda

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol ini ditampilkan dalam kolom terakhir dari tabel tipe sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya ARN Kunci syarat
code signing config arn:${Partition}:lambda:${Region}:${Account}:code-signing-config:${CodeSigningConfigId}
eventSourceMapping arn:${Partition}:lambda:${Region}:${Account}:event-source-mapping:${UUID}
function arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}

aws:ResourceTag/${TagKey}

function alias arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}:${Alias}

aws:ResourceTag/${TagKey}

function version arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}:${Version}

aws:ResourceTag/${TagKey}

layer arn:${Partition}:lambda:${Region}:${Account}:layer:${LayerName}
layerVersion arn:${Partition}:lambda:${Region}:${Account}:layer:${LayerName}:${LayerVersion}

Kunci kondisi untuk AWS Lambda

AWSLambda mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut dimana pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

Kunci kondisi Deskripsi Tipe
aws:RequestTag/${TagKey} Memfilter akses dengan tag yang diteruskan dalam permintaan String
aws:ResourceTag/${TagKey} Memfilter akses dengan tag yang terkait dengan sumber daya String
aws:TagKeys Memfilter akses dengan kunci tag yang diteruskan dalam permintaan ArrayOfString
lambda:CodeSigningConfigArn Memfilter akses oleh ARN dari konfigurasi penandatanganan kode AWS Lambda ARN
lambda:EventSourceToken Memfilter akses oleh ID dari sumber AWS non-event yang dikonfigurasi untuk fungsi AWS Lambda String
lambda:FunctionArn Memfilter akses oleh ARN dari fungsi Lambda AWS ARN
lambda:FunctionUrlAuthType Memfilter akses berdasarkan jenis otorisasi yang ditentukan dalam permintaan. Tersedia selama CreateFunctionUrlConfig, UpdateFunctionUrlConfig, DeleteFunctionUrlConfig, GetFunctionUrlConfig, ListFunctionUrlConfig, AddPermission dan RemovePermission operasi String
lambda:Layer Memfilter akses oleh ARN dari versi lapisan Lambda AWS ArrayOfString
lambda:Principal Memfilter akses dengan membatasi AWS layanan atau akun yang dapat memanggil fungsi String
lambda:SecurityGroupIds Memfilter akses dengan ID grup keamanan yang dikonfigurasi untuk fungsi AWS Lambda ArrayOfString
lambda:SourceFunctionArn Memfilter akses oleh ARN dari fungsi AWS Lambda dari mana permintaan berasal ARN
lambda:SubnetIds Memfilter akses dengan ID subnet yang dikonfigurasi untuk fungsi AWS Lambda ArrayOfString
lambda:VpcIds Memfilter akses dengan ID VPC yang dikonfigurasi untuk fungsi Lambda AWS String