Lambda에서 속성 기반 액세스 제어 사용
속성 기반 액세스 제어(ABAC)를 사용하여 Lambda 리소스에 대한 액세스를 제어할 수 있습니다. 특정 Lambda 리소스에 태그를 연결하거나, 특정 API 요청에서 태그를 전달하거나, AWS Identity and Access Management(IAM) 위탁자에게 연결하여 요청할 수 있습니다. AWS 속성 기반 액세스를 부여하는 방법에 대한 자세한 내용은 IAM 사용 설명서에서 태그를 사용하여 AWS 리소스에 대한 액세스 제어를 참조하세요.
IAM 정책에서 Amazon 리소스 이름(ARN) 또는 IAM 정책을 지정하지 않고 ABAC를 사용하여 최소 권한 부여할 수 있습니다. 대신 IAM 정책 조건 요소에서 태그를 지정하여 액세스를 제어할 수 있습니다. ABAC를 사용하면 새 리소스를 생성할 때 IAM 정책을 업데이트할 필요가 없으므로 확장이 더 쉬워집니다. 대신 새 리소스에 태그를 추가하여 액세스를 제어하세요.
Lambda에서 태그는 다음 리소스에 대해 작동합니다.
함수 - 함수 태그 지정에 대한 자세한 내용은 Lambda 함수에서 태그 사용 섹션을 참조하세요.
코드 서명 구성 - 코드 서명 구성에 태그를 지정하는 방법에 대한 자세한 내용은 코드 서명 구성에 태그 사용 섹션을 참조하세요.
이벤트 소스 매핑 - 이벤트 소스 매핑에 태그를 지정하는 방법에 대한 자세한 내용은 이벤트 소스 매핑에 태그 사용 섹션을 참조하세요.
계층에는 태그가 지원되지 않습니다.
다음 조건 키를 사용하면 태그 기반의 IAM 정책 규칙을 작성할 수 있습니다.
-
aws:ResourceTag/tag-key: Lambda 리소스에 연결된 태그를 기반으로 액세스를 제어합니다.
-
aws:RequestTag/tag-key: 새 함수를 만들 때와 같이 요청에 태그가 있어야 합니다.
-
aws:PrincipalTag/tag-key: IAM 보안 주체(요청을 하는 사람)이 자신의 IAM 사용자 또는 역할에 연결된 태그를 기반으로 수행할 수 있는 권한을 제어합니다.
-
aws:TagKeys: 요청에서 특정 키를 사용할 수 있는지 여부를 제어합니다.
조건을 지원하는 작업에 대해서만 조건을 지정할 수 있습니다. 각 Lambda 작업에서 지원되는 조건 목록은 서비스 승인 참조의 AWS Lambda의 작업, 리소스 및 조건 키를 참조하세요. aws:ResourceTag/tag-key 지원은 ‘AWS Lambda에서 정의한 리소스 유형’을 참조하세요. aws:RequestTag/tag-key 및 aws:TagKeys 지원은 ‘AWS Lambda에서 정의한 작업’을 참조하세요.
