AWS の AWS Lambda マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWSのすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

AWS 管理ポリシー: AWSLambda_FullAccess

このポリシーは Lambda アクションに対するフルアクセスを付与します。また、Lambda リソースの開発と保守に使用される他の AWS サービスへのアクセス許可も付与します。

ユーザー、グループおよびロールに AWSLambda_FullAccess ポリシーをアタッチできます。

許可の詳細

このポリシーには、以下の許可が含まれています。

• lambda – プリンシパルに Lambda への完全なアクセスを許可します。

• cloudformation — プリンシパルが AWS CloudFormation スタックを記述し、それらのスタック内のリソースを一覧表示できるようにします。

• cloudwatch — プリンシパルが Amazon CloudWatch メトリクスを一覧表示し、メトリクスデータを取得できるようにします。

• ec2 — プリンシパルがセキュリティグループ、サブネット、および VPC を記述できるようにします。

• iam — プリンシパルがポリシー、ポリシーバージョン、ロール、ロールポリシー、アタッチされたロールポリシー、およびロールのリストを取得できるようにします。また、このポリシーでは、プリンシパルが Lambda にロールを渡すことも許可されます。PassRole 許可は、関数に実行ロールを割り当てる際に使用します。

• kms - プリンシパルがエイリアスを一覧表示できるようにします。

• logs — プリンシパルが Amazon CloudWatch ロググループを記述できるようにします。Lambda 関数に関連付けられているロググループに対して、このポリシーにより、プリンシパルはログストリームの記述、ログイベントの取得、およびログイベントのフィルタリングを行うことができるようになります。

• states — プリンシパルが AWS Step Functions 状態のマシンを記述および一覧表示できるようにします。

• tag — プリンシパルがタグに基づいてリソースを取得できるようにします。

• xray — プリンシパルが AWS X-Ray トレースサマリーを取得し、ID で指定されたトレースのリストを取得できるようにします。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambda_FullAccess」を参照してください。

AWS 管理ポリシー: AWSLambda_ReadOnlyAccess

このポリシーは、Lambda リソースと、Lambda リソースの開発と保守に使用される他の AWS サービスへの読み取り専用アクセスを許可します。

ユーザー、グループおよびロールに AWSLambda_ReadOnlyAccess ポリシーをアタッチできます。

許可の詳細

このポリシーには、以下の許可が含まれています。

• lambda - プリンシパルがすべてのリソースを取得して一覧表示できるようにします。

• cloudformation — プリンシパルが AWS CloudFormation スタックを記述および一覧表示して、それらのスタック内のリソースを一覧表示できるようにします。

• cloudwatch — プリンシパルが Amazon CloudWatch メトリクスを一覧表示し、メトリクスデータを取得できるようにします。

• ec2 — プリンシパルがセキュリティグループ、サブネット、および VPC を記述できるようにします。

• iam — プリンシパルがポリシー、ポリシーバージョン、ロール、ロールポリシー、アタッチされたロールポリシー、およびロールのリストを取得できるようにします。

• kms - プリンシパルがエイリアスを一覧表示できるようにします。

• logs — プリンシパルが Amazon CloudWatch ロググループを記述できるようにします。Lambda 関数に関連付けられているロググループに対して、このポリシーにより、プリンシパルはログストリームの記述、ログイベントの取得、およびログイベントのフィルタリングを行うことができるようになります。

• states — プリンシパルが AWS Step Functions 状態のマシンを記述および一覧表示できるようにします。

• tag — プリンシパルがタグに基づいてリソースを取得できるようにします。

• xray — プリンシパルが AWS X-Ray トレースサマリーを取得し、ID で指定されたトレースのリストを取得できるようにします。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambda_ReadOnlyAccess」を参照してください。

AWS 管理ポリシー: AWSLambdaBasicExecutionRole

このポリシーは、ログを CloudWatch Logs にアップロードするための許可を付与します。

ユーザー、グループおよびロールに AWSLambdaBasicExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambdaBasicExecutionRole」を参照してください。

AWS 管理ポリシー: AWSLambdaDynamoDBExecutionRole

このポリシーは、Amazon DynamoDB ストリームからレコードを読み取り、CloudWatch Logs に書き込むための許可を付与します。

ユーザー、グループおよびロールに AWSLambdaDynamoDBExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambdaDynamoDBExecutionRole」を参照してください。

AWS 管理ポリシー: AWSLambdaENIManagementAccess

このポリシーは、VPC 対応の Lambda 関数で使用される Elastic Network Interface を作成、記述、削除する許可を付与します。

ユーザー、グループおよびロールに AWSLambdaENIManagementAccess ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambdaENIManagementAccess」を参照してください。

AWS 管理ポリシー: AWSLambdaExecute

このポリシーは、Amazon Simple Storage Service への PUT アクセスおよび GET アクセスと、CloudWatch Logs へのフルアクセスを許可します。

ユーザー、グループおよびロールに AWSLambdaExecute ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambdaExecute」を参照してください。

AWS 管理ポリシー: AWSLambdaInvocation-DynamoDB

このポリシーは Amazon DynamoDB Streams への読み取りアクセスを許可します。

ユーザー、グループおよびロールに AWSLambdaInvocation-DynamoDB ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambdaInvocation-DynamoDB」を参照してください。

AWS 管理ポリシー: AWSLambdaKinesisExecutionRole

このポリシーは、Amazon Kinesis データストリームからイベントを読み取り、CloudWatch Logs に書き込むための許可を付与します。

ユーザー、グループおよびロールに AWSLambdaKinesisExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambdaKinesisExecutionRole」を参照してください。

AWS 管理ポリシー: AWSLambdaMSKExecutionRole

このポリシーは、Amazon Managed Streaming for Apache Kafka クラスターからレコードを読み取り、アクセスし、Elastic Network Interface を管理し、CloudWatch Logs に書き込むための許可を付与します。

ユーザー、グループおよびロールに AWSLambdaMSKExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambdaMSKExecutionRole」を参照してください。

AWS 管理ポリシー: AWSLambdaRole

このポリシーは、Lambda 関数を呼び出す許可を付与します。

ユーザー、グループおよびロールに AWSLambdaRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambdaRole」を参照してください。

AWS 管理ポリシー: AWSLambdaSQSQueueExecutionRole

このポリシーは、Amazon Simple Queue Service キューからのメッセージの読み取りと削除の許可を付与し、CloudWatch Logs への書き込みの許可を付与します。

ユーザー、グループおよびロールに AWSLambdaSQSQueueExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambdaSQSQueueExecutionRole」を参照してください。

AWS 管理ポリシー: AWSLambdaVPCAccessExecutionRole

このポリシーは、Amazon 仮想プライベートクラウド内の Elastic Network Interface を管理して、CloudWatch Logs に書き込む許可を付与します。

ユーザー、グループおよびロールに AWSLambdaVPCAccessExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、AWS 管理ポリシーリファレンスガイドの「AWSLambdaVPCAccessExecutionRole」を参照してください。

Lambda での AWS マネージドポリシーの更新

変更	説明	日付
AWSLambdaVPCAccessExecutionRole – 変更	Lambda は、アクション ec2:DescribeSubnets を許可するように AWSLambdaVPCAccessExecutionRole ポリシーを更新しました。	2024 年 1 月 5 日
AWSLambda_ReadOnlyAccess — 変更	Lambda は、プリンシパルが AWS CloudFormation スタックを一覧表示できるように AWSLambda_ReadOnlyAccess ポリシーを更新しました。	2023 年 7 月 27 日
AWS Lambda は変更の追跡を開始しました	AWS Lambda が AWS マネージドポリシーの変更の追跡を開始しました。	2023 年 7 月 27 日