AWS Lambda
Guia do desenvolvedor

Função de execução do AWS Lambda

A função de execução de uma função do AWS Lambda concede a ela permissão para acessar recursos e serviços da AWS. Você fornece essa função ao criar uma função, e o Lambda assume a função quando ela é invocada. Crie uma função de execução para desenvolvimento que tenha permissão para enviar registros ao Amazon CloudWatch e fazer upload dos dados de rastreamento em AWS X-Ray.

Para criar uma função de execução

  1. Abra a página Roles no console do IAM.

  2. Selecione Create role.

  3. Crie uma função com as seguintes propriedades:

    • Trusted entity (Entidade confiável)AWS Lambda

    • Permissions (Permissões)AWSLambdaBasicExecutionRole, AWSXrayWriteOnlyAccess

    • Role name (Nome da função)lambda-role

Adicione ou remova permissões da função de execução de uma função a qualquer momento ou configure a função para usar uma diferente. Adicione permissões para quaisquer serviços que a função chame com o SDK da AWS e para serviços usados pelo Lambda para habilitar recursos opcionais.

As seguintes políticas gerenciadas oferecem permissões obrigatórias para que se usem os recursos do Lambda:

  • AWSLambdaBasicExecutionRole – Permissão para fazer upload dos registros para o CloudWatch.

  • AWSLambdaKinesisExecutionRole – Permissão para ler eventos de um stream de dados ou um consumidor do Amazon Kinesis.

  • AWSLambdaDynamoDBExecutionRole – Permissão para ler registros de um stream do Amazon DynamoDB.

  • AWSLambdaSQSQueueExecutionRole – Permissão para ler uma mensagem de uma fila do Amazon Simple Queue Service (Amazon SQS).

  • AWSLambdaVPCAccessExecutionRole – Permissão para gerenciar interfaces de rede elástica a fim de conectar a função a uma VPC.

  • AWSXrayWriteOnlyAccess – Permissão para fazer upload dos dados de rastreamento em X-Ray.

Quando você usa um mapeamento de origem do evento para invocar a função, o Lambda usa a função de execução a fim de ler dados de eventos. Por exemplo, um mapeamento de origem do evento para o Amazon Kinesis lê eventos de um fluxo de dados e os envia para a função em lotes. Use mapeamentos de origem do evento com os seguintes serviços:

Serviços dos quais o Lambda lê eventos

Além das políticas gerenciadas, o console do Lambda fornece modelos para criar uma política personalizada com as permissões relacionadas a outros casos de uso adicionais. Ao criar uma função, opte por criar uma nova função de execução com permissões de um ou mais modelos. Esses modelos também são aplicados automaticamente quando você cria uma função a partir de um esquema, ou quando configura opções que exijam acesso a outros serviços. Os modelos de exemplo estão disponíveis no repositório do GitHub deste guia.