AWS Lambda
개발자 가이드

AWS Lambda 권한

AWS Identity and Access Management(IAM)을 사용하여 Lambda API 및 리소스(함수 및 계층 등)에 대한 액세스를 관리할 수 있습니다. 계정에서 Lambda를 사용하는 사용자와 애플리케이션에 대해 IAM 사용자, 그룹, 역할 등에 적용할 수 있는 권한 정책의 권한을 관리할 수 있습니다. 내 Lambda 리소스를 사용하는 다른 계정이나 AWS 서비스에 권한을 부여하려면 리소스 자체에 적용되는 정책을 사용합니다.

Lambda 함수에는 실행 역할이라는 정책도 있으며, 이것은 AWS 서비스 및 리소스에 대한 액세스 권한을 부여합니다. 함수는 최소한 로그 스트리밍을 위해 Amazon CloudWatch Logs에 액세스할 수 있어야 합니다. AWS X-Ray를 사용하여 함수를 추적하거나, AWS SDK를 통해 함수가 서비스에 액세스할 경우 실행 역할에서 호출 권한을 부여할 수 있습니다. 이벤트 소스 매핑을 사용하여 함수를 트리거할 경우 Lambda는 실행 역할을 사용하여 이벤트 소스에서 읽을 수 있는 권한을 받습니다.

참고

함수가 AWS API 또는 인터넷을 통해 액세스할 수 없는 관계형 데이터베이스와 같은 리소스에 네트워크를 통해 액세스해야 할 경우, VPC에 연결하도록 구성하십시오.

리소스 기반 정책을 사용하면 다른 계정과 AWS 서비스에 Lambda 리소스를 사용할 수 있는 권한을 부여할 수 있습니다. Lambda 리소스에는 함수, 버전, 별칭, 계층 버전이 포함됩니다. 각 리소스는 해당 리소스를 액세스할 때 적용되는 권한 정책 및 사용자에게 적용되는 기타 정책을 갖습니다. Amazon S3와 같은 AWS 서비스가 Lambda 함수를 호출할 때 리소스 기반 정책을 통해 액세스가 부여됩니다.

계정의 사용자 및 애플리케이션에 대한 권한을 관리하려면 Lambda가 제공하는 관리형 정책을 사용하거나 직접 작성하십시오. Lambda 콘솔은 함수의 구성 및 트리거에 대한 정보를 받기 위해 여러 서비스를 사용합니다. 관리형 정책을 그대로 사용하거나, 이를 바탕으로 보다 제한적인 정책을 만들 수 있습니다.

작업이 영향을 주는 리소스별로 또는 경우에 따라 추가 조건을 적용하여 사용자 권한을 제한할 수 있습니다. 예를 들어 함수의 Amazon 리소스 이름(ARN) 패턴을 지정하여 생성하는 함수 이름에 사용자가 사용자 이름을 포함시키도록 할 수 있습니다. 또한 예를 들어 로깅 소프트웨어를 가져올 때 특정 계층을 사용하도록 사용자가 함수를 구성해야 하는 조건을 추가할 수 있습니다. 각 작업이 지원하는 리소스 및 조건을 보려면 리소스 및 조건을 참조하십시오.

IAM에 대한 자세한 내용은 IAM 사용 설명서IAM이란 무엇입니까?를 참조하십시오.