AWS の AWS Lambda マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権の権限を付与しない場合があることにご注意ください。AWS のすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマー管理ポリシーを定義することで、権限を絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS サービスを起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー： AWSLambda_FullAccess

このポリシーは Lambda アクションに対するフルアクセスを付与します。また、Lambda リソースの開発と保守に使用される他の AWS サービスへのアクセス許可も付与します。

ユーザー、グループおよびロールに AWSLambda_FullAccess ポリシーをアタッチできます。

許可の詳細

このポリシーには、以下の許可が含まれています。

• lambda – プリンシパルに Lambda への完全なアクセスを許可します。

• cloudformation — プリンシパルが AWS CloudFormation スタックを記述し、それらのスタック内のリソースを一覧表示できるようにします。

• cloudwatch — プリンシパルが Amazon CloudWatch メトリクスを一覧表示し、メトリクスデータを取得できるようにします。

• ec2 — プリンシパルがセキュリティグループ、サブネット、および VPC を記述できるようにします。

• iam — プリンシパルがポリシー、ポリシーバージョン、ロール、ロールポリシー、アタッチされたロールポリシー、およびロールのリストを取得できるようにします。また、このポリシーでは、プリンシパルが Lambda にロールを渡すことも許可されます。PassRole 許可は、関数に実行ロールを割り当てる際に使用します。

• kms - プリンシパルがエイリアスを一覧表示できるようにします。

• logs — プリンシパルが Amazon CloudWatch ロググループを記述できるようにします。Lambda 関数に関連付けられているロググループに対して、このポリシーにより、プリンシパルはログストリームの記述、ログイベントの取得、およびログイベントのフィルタリングを行うことができるようになります。

• states — プリンシパルが AWS Step Functions 状態のマシンを記述および一覧表示できるようにします。

• tag — プリンシパルがタグに基づいてリソースを取得できるようにします。

• xray — プリンシパルが AWS X-Ray トレースサマリーを取得し、ID で指定されたトレースのリストを取得できるようにします。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambda_FullAccess」の「」を参照してください。

AWS マネージドポリシー： AWSLambda_ReadOnlyAccess

このポリシーは、Lambda リソースと、Lambda リソースの開発と保守に使用される他の AWS サービスへの読み取り専用アクセスを許可します。

ユーザー、グループおよびロールに AWSLambda_ReadOnlyAccess ポリシーをアタッチできます。

許可の詳細

このポリシーには、以下の許可が含まれています。

• lambda - プリンシパルがすべてのリソースを取得して一覧表示できるようにします。

• cloudformation — プリンシパルが AWS CloudFormation スタックを記述および一覧表示して、それらのスタック内のリソースを一覧表示できるようにします。

• cloudwatch — プリンシパルが Amazon CloudWatch メトリクスを一覧表示し、メトリクスデータを取得できるようにします。

• ec2 — プリンシパルがセキュリティグループ、サブネット、および VPC を記述できるようにします。

• iam — プリンシパルがポリシー、ポリシーバージョン、ロール、ロールポリシー、アタッチされたロールポリシー、およびロールのリストを取得できるようにします。

• kms - プリンシパルがエイリアスを一覧表示できるようにします。

• logs — プリンシパルが Amazon CloudWatch ロググループを記述できるようにします。Lambda 関数に関連付けられているロググループに対して、このポリシーにより、プリンシパルはログストリームの記述、ログイベントの取得、およびログイベントのフィルタリングを行うことができるようになります。

• states — プリンシパルが AWS Step Functions 状態のマシンを記述および一覧表示できるようにします。

• tag — プリンシパルがタグに基づいてリソースを取得できるようにします。

• xray — プリンシパルが AWS X-Ray トレースサマリーを取得し、ID で指定されたトレースのリストを取得できるようにします。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambda_ReadOnlyAccess」の「」を参照してください。

AWS マネージドポリシー： AWSLambdaBasicExecutionRole

このポリシーは、ログを CloudWatch Logs にアップロードするアクセス許可を付与します。

ユーザー、グループおよびロールに AWSLambdaBasicExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambdaBasicExecutionRole」の「」を参照してください。

AWS マネージドポリシー： AWSLambdaDynamoDBExecutionRole

このポリシーは、Amazon DynamoDB ストリームからレコードを読み取り、 CloudWatch Logs に書き込むためのアクセス許可を付与します。

ユーザー、グループおよびロールに AWSLambdaDynamoDBExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambdaDynamoDBExecutionRole」の「」を参照してください。

AWS マネージドポリシー： AWSLambdaENIManagementAccess

このポリシーは、VPC 対応の Lambda 関数で使用される Elastic Network Interface を作成、記述、削除する許可を付与します。

ユーザー、グループおよびロールに AWSLambdaENIManagementAccess ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambdaENIManagementAccess」の「」を参照してください。

AWS マネージドポリシー： AWSLambdaExecute

このポリシーはPUT、Amazon Simple Storage Service への および GET アクセスと、 CloudWatch ログへのフルアクセスを付与します。

ユーザー、グループおよびロールに AWSLambdaExecute ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambdaExecute」の「」を参照してください。

AWS マネージドポリシー： AWSLambdaInvocation-DynamoDB

このポリシーは Amazon DynamoDB Streams への読み取りアクセスを許可します。

ユーザー、グループおよびロールに AWSLambdaInvocation-DynamoDB ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイド」のAWSLambdaInvocation「-DynamoDB」を参照してください。

AWS マネージドポリシー： AWSLambdaKinesisExecutionRole

このポリシーは、Amazon Kinesis データストリームからイベントを読み取り、 CloudWatch ログに書き込むアクセス許可を付与します。

ユーザー、グループおよびロールに AWSLambdaKinesisExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambdaKinesisExecutionRole」の「」を参照してください。

AWS マネージドポリシー： AWSLambdaMSKExecutionRole

このポリシーは、Amazon Managed Streaming for Apache Kafka クラスターからのレコードの読み取りとアクセス、Elastic Network Interface の管理、および CloudWatch Logs への書き込みを行うためのアクセス許可を付与します。

ユーザー、グループおよびロールに AWSLambdaMSKExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambdaMSKExecutionRole」の「」を参照してください。

AWS マネージドポリシー： AWSLambdaRole

このポリシーは、Lambda 関数を呼び出す許可を付与します。

ユーザー、グループおよびロールに AWSLambdaRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambdaRole」の「」を参照してください。

AWS マネージドポリシー： AWSLambdaSQSQueueExecutionRole

このポリシーは、Amazon Simple Queue Service キューからのメッセージの読み取りと削除のアクセス許可を付与し、 CloudWatch ログへの書き込みアクセス許可を付与します。

ユーザー、グループおよびロールに AWSLambdaSQSQueueExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambdaSQSQueueExecutionRole」の「」を参照してください。

AWS マネージドポリシー： AWSLambdaVPCAccessExecutionRole

このポリシーは、Amazon Virtual Private Cloud 内の Elastic Network Interface を管理し、 CloudWatch ログに書き込むためのアクセス許可を付与します。

ユーザー、グループおよびロールに AWSLambdaVPCAccessExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンなど、このポリシーの詳細については、「 AWSマネージドポリシーリファレンスガイドAWSLambdaVPCAccessExecutionRole」の「」を参照してください。

Lambda での AWS マネージドポリシーの更新

変更	説明	日付
AWSLambdaVPCAccessExecutionRole – 変更	Lambda は、アクション を許可するようにAWSLambdaVPCAccessExecutionRoleポリシーを更新しましたec2:DescribeSubnets。	2024 年 1 月 5 日
AWSLambda_ReadOnlyAccess – 変更	Lambda は、プリンシパルが AWS CloudFormation スタックを一覧表示できるように AWSLambda_ReadOnlyAccess ポリシーを更新しました。	2023 年 7 月 27 日
AWS Lambda は変更の追跡を開始しました	AWS Lambda が AWS マネージドポリシーの変更の追跡を開始しました。	2023 年 7 月 27 日