As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões de acesso a recursos do Lambda
Use o AWS Identity and Access Management (IAM) para gerenciar o acesso à API e aos recursos do Lambda, como funções e camadas. Para usuários e aplicações em sua conta que usam o Lambda, é possível criar políticas do IAM que se aplicam a usuários, grupos ou perfis.
Cada função do Lambda tem um perfil do IAM denominado função de execução. Nesse perfil, você pode anexar uma política que define as permissões necessárias para que a função acesse outros serviços e recursos da AWS. No mínimo, sua função precisa acessar o Amazon CloudWatch Logs para streaming de registros. Se sua a função chamar outras APIs de serviços com o AWS SDK, você deverá incluir as permissões necessárias na política do perfil de execução. O Lambda também usa a função de execução para obter permissão para ler de fontes de eventos quando você usa um mapeamento de origens para invocar sua função.
Para dar a outras contas e serviços do AWS permissão para usar seus recursos do Lambda, use uma política baseada em recursos. Os recursos do Lambda incluem funções, versões, aliases e versões da camada. Quando um usuário tenta acessar um recurso do Lambda, o Lambda considera as políticas baseadas em identidade e a política baseada em recursos do usuário. Quando um serviço da AWS, como o Amazon Simple Storage Service (Amazon S3), chama sua função do Lambda, o Lambda considera apenas a política baseada em recursos.
Para gerenciar permissões para usuários e aplicações na sua conta, recomendamos usar uma política gerenciada da AWS. Use essas políticas gerenciadas no estado em que se encontram ou como um ponto de partida para escrever suas próprias políticas mais restritivas. Políticas podem restringir permissões de usuários pelo recurso afetado por uma ação e, em alguns casos, por condições adicionais. Para ter mais informações, consulte Recursos e condições para ações do Lambda.
Se as suas funções do Lambda contiverem chamadas para outros recursos da AWS, talvez você também queira restringir quais delas podem acessar esses recursos. Para fazer isso, inclua a chave de condição lambda:SourceFunctionArn em uma política baseada em identidade do IAM ou em uma política de controle de serviços (SCP) para o recurso do destino. Para ter mais informações, consulte Trabalhar com credenciais do ambiente de execução do Lambda.
Para obter mais informações sobre o IAM, consulte o Manual do usuário do IAM.
Para obter mais informações sobre como colocar os princípios de segurança em prática para aplicações do Lambda, consulte Security
Tópicos
