AddPermission - AWS Lambda

AddPermission

関数を使用するために、AWS サービスまたは他のアカウントアクセス許可を付与します。関数レベルでポリシーを適用したり、1 つのバージョンまたはエイリアスへのアクセスを制限する修飾子を指定したりすることができます。修飾子を使用する場合は、バージョンの完全な Amazon リソースネーム (ARN) またはエイリアスを使用して関数を呼び出す必要があります。注: Lambda では、バージョン $LATEST へのポリシーの追加をサポートしていません。

別のアカウントにアクセス許可を付与するには、アカウント ID を Principal として指定します。AWS サービスの場合、プリンシパルは、s3.amazonaws.comsns.amazonaws.com などのサービスによって定義されたドメイン形式の識別子です。AWS サービスの場合、関連付けられたリソースの ARN を SourceArn として指定することもできます。ソースを指定せずにアクセス許可をサービスプリンシパルに付与した場合は、他のアカウントが Lambda 関数を呼び出すようにそのアカウントのリソースを設定する可能性があります。

このアクションにより、ステートメントが関数のリソースベースのアクセス許可ポリシーに追加されます。関数ポリシーの詳細については、「Lambda 関数ポリシー」を参照してください。

リクエストの構文

POST /2015-03-31/functions/FunctionName/policy?Qualifier=Qualifier HTTP/1.1 Content-type: application/json { "Action": "string", "EventSourceToken": "string", "Principal": "string", "RevisionId": "string", "SourceAccount": "string", "SourceArn": "string", "StatementId": "string" }

URI リクエストパラメータ

リクエストでは、次の URI パラメータを使用します。

FunctionName

Lambda 関数、バージョン、またはエイリアスの名前。

名前の形式

  • 関数名 - my-function (名前のみ)、my-function:v1 (エイリアス付き)。

  • 関数 ARN - arn:aws:lambda:us-west-2:123456789012:function:my-function.

  • 一部の ARN - 123456789012:function:my-function.

バージョン番号またはエイリアスを任意の形式に追加できます。完全な ARN にのみ適用される長さの制限。関数名のみを指定する場合、64 文字の長さに制限されます。

長さの制限: 最小長は 1 です。最大長は 140 です。

Pattern: (arn:(aws[a-zA-Z-]*)?:lambda:)?([a-z]{2}(-gov)?-[a-z]+-\d{1}:)?(\d{12}:)?(function:)?([a-zA-Z0-9-_]+)(:(\$LATEST|[a-zA-Z0-9-_]+))?

必須: はい

Qualifier

バージョンまたはエイリアスを指定して、関数の公開済みバージョンにアクセス許可を追加します。

長さの制限: 最小長は 1 です。最大長は 128 です。

Pattern: (|[a-zA-Z0-9$_-]+)

リクエストボディ

リクエストは以下のデータを JSON 形式で受け入れます。

Action

プリンシパルが関数で使用できるアクション。例えば、lambda:InvokeFunctionlambda:GetFunction などです。

型: 文字列

Pattern: (lambda:[*]|lambda:[a-zA-Z]+|[*])

必須: はい

EventSourceToken

Alexa Smart Home 関数の場合、呼び出し元によって指定される必要のあるトークン。

型: 文字列

長さの制限: 最小長は 0 です。最大長は 256 です。

Pattern: [a-zA-Z0-9._\-]+

必須: いいえ

Principal

関数を呼び出す AWS サービスまたはアカウント。サービスを指定する場合は、SourceArn または SourceAccount を使用して、そのサービスを使用して関数を呼び出すことができるユーザーを制限します。

型: 文字列

Pattern: [^\s]+

必須: はい

RevisionId

リビジョン ID が指定した ID と一致する場合にのみ、ポリシーを更新します。このオプションを使用して、最終読み取りから変更されたポリシーを変更しないようにします。

型: 文字列

必須: いいえ

SourceAccount

Amazon S3 の場合、リソースを所有しているアカウントの ID。これを SourceArn とともに使用して、指定したアカウントによってリソースが所有されるようにします。Amazon S3 バケットは、その所有者によって削除され、別のアカウントによって再作成される可能性があります。

型: 文字列

長さの制限: 最大長は 12 です。

Pattern: \d{12}

必須: いいえ

SourceArn

AWS サービスの場合、関数を呼び出す AWS リソースの ARN。たとえば、Amazon S3 バケットまたは Amazon SNS トピックです。

Lambda は、StringLike 演算子を使用して比較を設定することに注意してください。

型: 文字列

Pattern: arn:(aws[a-zA-Z0-9-]*):([a-zA-Z0-9\-])+:([a-z]{2}(-gov)?-[a-z]+-\d{1})?:(\d{12})?:(.*)

必須: いいえ

StatementId

ステートメントを同じポリシー内の他のステートメントと区別するステートメント識別子。

型: 文字列

長さの制限: 最小長は 1 です。最大長は 100 です。

Pattern: ([a-zA-Z0-9-_]+)

必須: はい

レスポンスの構文

HTTP/1.1 201 Content-type: application/json { "Statement": "string" }

レスポンス要素

アクションが成功すると、HTTP 201 レスポンスが返されます。

サービスから以下のデータが JSON 形式で返されます。

Statement

関数ポリシーに追加されるアクセス許可ステートメント。

型: 文字列

Errors

InvalidParameterValueException

リクエストに含まれているパラメータの 1 つが無効です。

HTTP ステータスコード: 400

PolicyLengthExceededException

リソースのアクセス許可ポリシーが大きすぎます。詳細はこちら

HTTP ステータスコード: 400

PreconditionFailedException

指定された RevisionId が、Lambda 関数またはエイリアスの最新 RevisionId と一致しません。GetFunction または GetAlias API を呼び出して、リソースの最新 RevisionId を取得します。

HTTP ステータスコード: 412

ResourceConflictException

リソースが既に存在しているか、別のオペレーションが進行中です。

HTTP ステータスコード: 409

ResourceNotFoundException

リクエストで指定されたリソースは存在しません。

HTTP ステータスコード: 404

ServiceException

AWS Lambda サービスで内部エラーが発生しました。

HTTP ステータスコード: 500

TooManyRequestsException

リクエストスループット制限を超えました。

HTTP ステータスコード: 429

以下の資料も参照してください。

言語固有の AWS SDK のいずれかでこの API を使用する方法の詳細については、次を参照してください。