AWS Lambda
Guia do desenvolvedor

Permissões do AWS Lambda

Use o AWS Identity and Access Management (IAM) para gerenciar acesso à API e aos recursos do Lambda, como funções e camadas. Para usuários e aplicativos na conta que usa o Lambda, gerencie permissões em uma política de permissões que é possível aplicar a usuários, grupos ou funções do IAM. Para conceder permissões a outras contas ou serviços da AWS que usem os recursos do Lambda, você usa uma política que se aplica ao recurso propriamente dito.

Uma função do Lambda também tem uma política, chamada de função de execução, que concede a ela permissão para acessar recursos e serviços da AWS. No mínimo, a função precisa acessar o Amazon CloudWatch Logs para o streaming de registros. Se usar AWS X-Ray para rastrear a função, ou a função acessar serviços com o SDK da AWS, você concederá a ela permissão para chamá-los na função de execução. O Lambda também usa a função de execução a fim de obter permissão para ler fontes de eventos quando você usa um mapeamento de origem do evento para disparar a função.

nota

Se a função precisar de acesso à rede para um recurso, como um banco de dados relacional não está acessível por meio de APIs da AWS ou da Internet, configure-a para se conectar à VPC.

Use políticas baseadas em recursos para conceder a outras contas e serviços da AWS permissão para usar os recursos do Lambda. Entre os recursos do Lambda estão funções, versões, aliases e versões da camada. Cada um desses recursos tem uma política de permissões que se aplica quando o recurso é acessado, além de todas as políticas que se aplicam ao usuário. Quando um serviço da AWS, como Amazon S3, chama a função do Lambda, a política baseada em recursos dá acesso a ele.

Para gerenciar permissões para usuários e aplicativos nas contas, use as políticas gerenciadas fornecidas pelo Lambda, ou crie as próprias. O console do Lambda usa vários serviços para obter informações sobre a configuração e os triggers da função. Use as políticas gerenciadas no estado em que se encontram ou como um ponto de partida para políticas mais restritivas.

Restrinja permissões de usuário pelo recurso afetado por uma ação e, em alguns casos, por condições adicionais. Por exemplo, especifique um padrão para o Amazon Resource Name (ARN – Nome de recurso da Amazon) de uma função que exija que um usuário inclua o nome do usuário nos nomes das funções criadas. Além disso, é possível adicionar uma condição que exige que o usuário configure funções para usar uma camada específica para, por exemplo, extrair o software de registro. Para os recursos e as condições compatíveis com cada ação, consulte Recursos e condições.

Para obter mais informações sobre o IAM, consulte O que é o IAM? no Guia do usuário do IAM.