Função de execução do Lambda

A função de execução de uma função do Lambda é uma perfil do AWS Identity and Access Management (IAM) que concede à função permissão para acessar serviços e recursos da AWS. Por exemplo, você pode criar uma função de execução que tenha permissão para enviar registros para a Amazon CloudWatch e fazer upload de dados de rastreamento paraAWS X-Ray. Esta página fornece informações sobre como criar, visualizar e gerenciar o perfil de execução de uma função do Lambda.

Você fornece uma função de execução ao criar uma função. Quando você invoca a função, o Lambda fornece automaticamente credenciais temporárias à função ao assumir esse perfil. Não é necessário chamar sts:AssumeRole no seu código da função.

Para que o Lambda assuma seu perfil de execução de forma adequada, a política de confiança do perfil deve especificar a entidade principal de serviço do Lambda (lambda.amazonaws.com) como um serviço confiável.

Para visualizar a função de execução de uma função

1. Abra a página Funções do console do Lambda.

2. Escolha o nome de uma função.

3. Escolha Configuration (Configuração) e depois Permissions (Permissões).

4. Em Resource summary (Resumo de recursos), reveja os serviços e os recursos que a função pode acessar.

5. Escolha um serviço na lista suspensa para ver as permissões relacionadas a ele.

Adicione ou remova permissões da função de execução de uma função a qualquer momento ou configure a função para usar uma diferente. Adicione permissões para qualquer serviço que a função chama com o AWS SDK e para serviços usados pelo Lambda para habilitar atributos opcionais.

Ao adicionar permissões à sua função, atualize também seu código ou configuração. Isso força as instâncias em execução da função, com credenciais desatualizadas, a serem encerradas e substituídas.

Criar uma função de execução no console do IAM

Por padrão, o Lambda cria uma função de execução com permissões mínimas quando você cria uma função no console do Lambda. Também é possível criar uma função de execução no console do IAM.

Como criar uma função de execução no console do IAM

1. Abra a página Roles (Funções) no console do IAM.

2. Selecione Create role (Criar função).

3. Em Use case (Caso de uso), escolha Lambda.

4. Escolha Próximo.

5. Selecione as políticas AWS AWSLambdaBasicExecutionRolegerenciadas AWSXRayDaemonWriteAccesse.

6. Escolha Próximo.

7. Digite um Role name e escolha Create role.

Para obter instruções, consulte Criar uma função para um serviço da AWS (console) no Guia do usuário do IAM.

Conceda acesso de menor privilégio à sua função de execução do Lambda

Quando você cria um perfil do IAM pela primeira vez para sua função do Lambda durante a fase de desenvolvimento, às vezes você pode conceder permissões além do que é necessário. Antes de publicar sua função no ambiente de produção, como prática recomendada, ajuste a política para incluir somente as permissões necessárias. Para obter mais informações, consulte Aplicar permissões de privilégio mínimo, no Guia do usuário do IAM.

Use o IAM Access Analyzer para ajudar a identificar as permissões necessárias para a política de função de execução do IAM. O IAM Access Analyzer revisa suaAWS CloudTrailregistra no intervalo de datas especificado e gera um modelo de política com apenas as permissões que a função utilizou durante esse período. Você pode usar o modelo para criar uma política gerenciada com permissões refinadas e anexá-la à função do IAM. Dessa forma, você concede apenas as permissões necessárias à interação com os recursos da AWS, de acordo com a especificidade do caso de uso.

Para obter mais informações, consulte Generate policies based on access activity (Gerar políticas com base na atividade de acesso), no Guia do usuário do IAM.

Gerenciar funções com a API do IAM

Para criar uma função de execução com a AWS Command Line Interface (AWS CLI), use o comando create-role. Ao usar esse comando, é possível especificar a política de confiança em linha. A política de confiança de um perfil concede a permissão de entidades principais especificadas para assumir o perfil. No exemplo a seguir, você concede à entidade principal do serviço Lambda permissão para assumir seu perfil. Os requisitos para escapar de aspas na string JSON podem variar dependendo do shell.

aws iam create-role --role-name lambda-ex --assume-role-policy-document '{"Version": "2012-10-17","Statement": [{ "Effect": "Allow", "Principal": {"Service": "lambda.amazonaws.com"}, "Action": "sts:AssumeRole"}]}'

Também é possível definir a política de confiança para a função usando um arquivo JSON separado. No exemplo a seguir, trust-policy.json é um arquivo no diretório atual.

exemplo trust-policy.json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

aws iam create-role --role-name lambda-ex --assume-role-policy-document file://trust-policy.json

A seguinte saída deverá ser mostrada:

{
    "Role": {
        "Path": "/",
        "RoleName": "lambda-ex",
        "RoleId": "AROAQFOXMPL6TZ6ITKWND",
        "Arn": "arn:aws:iam::123456789012:role/lambda-ex",
        "CreateDate": "2020-01-17T23:19:12Z",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "lambda.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

nota

O Lambda assume automaticamente seu perfil de execução quando você invoca sua função. Evite chamar sts:AssumeRole manualmente em seu código de função. Se o caso de uso exigir que o perfil assuma a si mesmo, será necessário incluir o perfil em si como uma entidade principal confiável na política de confiança do perfil. Para obter mais informações sobre como modificar uma política de confiança de perfil, consulte Modificar a política de confiança de uma função (console) no Guia do usuário do IAM.

Para adicionar permissões à função, use o comando attach-policy-to-role. Inicie adicionando oAWSLambdaBasicExecutionRolepolítica gerenciada pela.

aws iam attach-role-policy --role-name lambda-ex --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

Duração da sessão de credenciais de segurança temporárias

O Lambda assume uma função de execução associado à sua função para obter credenciais de segurança temporárias que ficam disponíveis como variáveis de ambiente durante a invocação de uma função. Se você usar essas credenciais temporárias fora do Lambda, como para criar uma URL pré-assinada do Amazon S3, não poderá controlar a duração da sessão. A configuração da duração máxima da sessão do IAM não se aplica a sessões que são assumidas por serviços da AWS, como o Lambda. Use a AssumeRole ação sts: se precisar controlar a duração da sessão.

Políticas gerenciadas da AWS para recursos do Lambda

As seguintes políticas gerenciadas da AWS oferecem permissões obrigatórias para o uso dos recursos do Lambda:

Alteração	Descrição	Data
AWSLambdaMSKExecutionRole— A Lambda adicionou a permissão kafka: DescribeCluster V2 a esta política.	AWSLambdaMSKExecutionRoleconcede permissões para ler e acessar registros de um cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK), gerenciar interfaces de rede elástica (ENIs) e gravar em Logs. CloudWatch	17 de junho de 2022
AWSLambdaBasicExecutionRole— A Lambda começou a monitorar as mudanças nessa política.	AWSLambdaBasicExecutionRole concede permissões para carregar logs para o CloudWatch.	14 de fevereiro de 2022
AWSLambdaDynamoDBExecutionRole— A Lambda começou a monitorar as mudanças nessa política.	AWSLambdaDynamoDBExecutionRoleconcede permissões para ler registros de um stream do Amazon DynamoDB e gravar em Logs. CloudWatch	14 de fevereiro de 2022
AWSLambdaKinesisExecutionRole— A Lambda começou a monitorar as mudanças nessa política.	AWSLambdaKinesisExecutionRoleconcede permissões para ler eventos de um stream de dados do Amazon Kinesis e gravar em Logs. CloudWatch	14 de fevereiro de 2022
AWSLambdaMSKExecutionRole— A Lambda começou a monitorar as mudanças nessa política.	AWSLambdaMSKExecutionRoleconcede permissões para ler e acessar registros de um cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK), gerenciar interfaces de rede elástica (ENIs) e gravar em Logs. CloudWatch	14 de fevereiro de 2022
AWSLambdaSQSQueueExecutionRole— A Lambda começou a monitorar as mudanças nessa política.	AWSLambdaSQSQueueExecutionRoleconcede permissões para ler uma mensagem de uma fila do Amazon Simple Queue Service (Amazon SQS) e gravar em Logs. CloudWatch	14 de fevereiro de 2022
AWSLambdaVPCAccessExecutionRole— A Lambda começou a monitorar as mudanças nessa política.	AWSLambdaVPCAccessExecutionRoleconcede permissões para gerenciar ENIs em uma Amazon VPC e gravar CloudWatch em Logs.	14 de fevereiro de 2022
AWSXRayDaemonWriteAccess— A Lambda começou a monitorar as mudanças nessa política.	AWSXRayDaemonWriteAccess concede permissões para carregar dados de rastreamento no X-Ray.	14 de fevereiro de 2022
CloudWatchLambdaInsightsExecutionRolePolicy— A Lambda começou a monitorar as mudanças nessa política.	CloudWatchLambdaInsightsExecutionRolePolicyconcede permissões para escrever métricas de tempo de execução no CloudWatch Lambda Insights.	14 de fevereiro de 2022
AmazonS3 — A ObjectLambdaExecutionRolePolicy Lambda começou a monitorar as alterações nessa política.	AmazonS3ObjectLambdaExecutionRolePolicyconcede permissões para interagir com o objeto Lambda do Amazon Simple Storage Service (Amazon S3) e para gravar em Logs. CloudWatch	14 de fevereiro de 2022

Para alguns atributos, o console do Lambda tenta adicionar permissões ausentes à sua função de execução em uma política gerenciada pelo cliente. Essas políticas podem tornar-se numerosas. Para evitar a criação de políticas adicionais, acrescente as políticas gerenciadas da AWS relevantes à função de execução antes de habilitar os atributos.

Quando você usa um mapeamento de fontes de eventos para invocar a função, o Lambda usa a função de execução a fim de ler dados de eventos. Por exemplo, um mapeamento da origem do evento para o Kinesis lê eventos de um fluxo de dados e os envia para a sua função em lotes.

Quando um serviço assume uma função em sua conta, você pode incluir as chaves de contexto de condição global aws:SourceAccount e aws:SourceArn em sua política de confiança de função para limitar o acesso à função apenas a solicitações geradas pelos recursos esperados. Para obter mais informações, consulte Prevenção de confused deputy entre serviços para o AWS Security Token Service.

Use mapeamentos de origem do evento com os seguintes serviços:

Serviços dos quais o Lambda lê eventos

• Amazon DynamoDB

• Amazon Kinesis

• Amazon MQ

• Amazon Managed Streaming for Apache Kafka (Amazon MSK)

• Apache Kafka autogerenciado

• Amazon Simple Queue Service (Amazon SQS)

• Amazon DocumentDB (compatível com MongoDB) (Amazon DocumentDB)

Além das políticas gerenciadas da AWS, o console do Lambda fornece modelos para criar uma política personalizada com as permissões para casos de uso adicionais. Ao criar uma função no console do Lambda, opte por criar uma nova função de execução com permissões de um ou mais modelos. Esses modelos também são aplicados automaticamente quando você cria uma função a partir de um esquema, ou quando configura opções que exijam acesso a outros serviços. Modelos de exemplo estão disponíveis no GitHubrepositório deste guia.

Trabalhar com credenciais do ambiente de execução do Lambda

É comum que o seu código de função do Lambda faça solicitações de API para outros serviços da AWS. Para fazer essas solicitações, o Lambda gera um conjunto efêmero de credenciais, assumindo a função de execução da sua função. Essas credenciais estão disponíveis como variáveis ​​de ambiente durante a invocação da sua função. Ao trabalhar com SDKs da AWS, não é necessário fornecer credenciais para o SDK diretamente no código. Por padrão, a cadeia de provedores de credenciais verifica sequencialmente cada local em que você pode definir credenciais e seleciona o primeiro disponível, que geralmente corresponde às variáveis de ambiente (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY e AWS_SESSION_TOKEN).

O Lambda injetará o ARN da função de origem no contexto de credenciais se a solicitação for uma solicitação de API da AWS proveniente de seu ambiente de execução. O Lambda também injetará o ARN da função de origem para as seguintes solicitações de API da AWS que o Lambda faz em seu nome de forma externa ao ambiente de execução:

Serviço	Ação	Motivo
CloudWatch Registros	CreateLogGroup, CreateLogStream, PutLogEvents	Para armazenar registros em um grupo de CloudWatch registros de registros
X-Ray	PutTraceSegments	Para enviar dados de rastreamento para o X-Ray.
Amazon EFS	ClientMount	Para conectar a função a um sistema de arquivos do Amazon Elastic File System (Amazon EFS).

Outras chamadas de API da AWS feitas pelo Lambda em seu nome de forma externa ao seu ambiente de execução e que usam o mesmo perfil de execução não contêm o ARN da função de origem. Alguns exemplos dessas chamadas de API fora do ambiente de execução incluem:

• Chamadas para o AWS Key Management Service (AWS KMS) para criptografar e descriptografar variáveis de ambiente automaticamente.

• Chamadas para o Amazon Elastic Compute Cloud (Amazon EC2) com a finalidade de criar interfaces de rede elástica (ENIs) para uma função habilitada para VPC.

• Chamadas para serviços da AWS, como o Amazon Simple Queue Service (Amazon SQS), para leitura de uma origem de evento configurada como um mapeamento da origem do evento.

Com o ARN da função de origem no contexto de credenciais, você pode verificar se uma chamada ao seu recurso veio do código de uma função do Lambda específica. Para verificar isso, use a chave de condição lambda:SourceFunctionArn em uma política baseada em identidade ou uma política de controle de serviços (SCP) do IAM.

nota

Não é possível usar a chave de condição lambda:SourceFunctionArn em políticas baseadas em recursos.

Com essa chave de condição nas políticas baseadas em identidade ou SCPs, você pode implementar controles de segurança para as ações de API que o código da função realiza em outros serviços da AWS. Isso tem algumas aplicações de segurança importantes, como ajudar a identificar a origem de um vazamento de credenciais.

nota

A chave de condição lambda:SourceFunctionArn é diferente das chaves de condição lambda:FunctionArn e aws:SourceArn. A chave de condição lambda:FunctionArn aplica-se somente a mapeamentos da origem do evento e ajuda a definir quais funções a sua origem de evento pode invocar. A chave de condição aws:SourceArn se aplica apenas a políticas nas quais a função do Lambda é o recurso visado e ajuda a definir quais outros serviços e recursos da AWS podem invocar essa função. A chave de condição lambda:SourceFunctionArn pode ser aplicada a qualquer política baseada em identidade ou SCP para definir as funções específicas do Lambda que têm permissões para fazer determinadas chamadas de API da AWS para outros recursos.

Para usar lambda:SourceFunctionArn na sua apólice, inclua-a como uma condição com qualquer um dos operadores de condição de ARN. O valor da chave deve ser um ARN válido.

Por exemplo, suponha que o código da função do Lambda faça uma chamada s3:PutObject que se destina a um bucket do Amazon S3 específico. Talvez você queira permitir que somente uma função do Lambda específica tenha acesso s3:PutObject a esse bucket. Nesse caso, a função de execução da função deve ter uma política anexada similar a esta:

exemplo política que concede acesso para uma função do Lambda específica a um recurso do Amazon S3

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExampleSourceFunctionArn",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::lambda_bucket/*",
            "Condition": {
                "ArnEquals": {
                    "lambda:SourceFunctionArn": "arn:aws:lambda:us-east-1:123456789012:function:source_lambda"
                }
            }
        }
    ]
}

Essa política apenas permite acesso a s3:PutObject se a origem for a função do Lambda com o ARN arn:aws:lambda:us-east-1:123456789012:function:source_lambda. Essa política não permite acesso a s3:PutObject para qualquer outra identidade de chamada. Isso acontece mesmo que uma função ou entidade diferente faça uma chamada s3:PutObject com a mesma função de execução.

nota

A chave de condição lambda:SourceFunctionARN não é compatível com versões da função do Lambda ou aliases da função. Se você usar o ARN para uma determinada versão ou alias da função, ela não terá permissão para realizar a ação especificada. Certifique-se de usar o ARN não qualificado para sua função sem uma versão ou sufixo de alias.

Você também pode usar lambda:SourceFunctionArn em políticas de controle de serviço. Por exemplo, suponha que você queira restringir o acesso ao seu bucket a um único código de função do Lambda ou às chamadas de uma nuvem privada virtual (VPC) da Amazon específica. O SCP a seguir ilustra isso.

exemplo política que nega acesso ao Amazon S3 sob condições específicas

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:*"
            ],
            "Resource": "arn:aws:s3:::lambda_bucket/*",
            "Effect": "Deny",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceVpc": [
                        "vpc-12345678"
                    ]
                },
                "ArnNotEqualsIfExists": {
                    "lambda:SourceFunctionArn": "arn:aws:lambda:us-east-1:123456789012:function:source_lambda"
                }
            }
        }
    ]
}

Essa política nega todas as ações do S3, a menos que sejam provenientes de uma função específica do Lambda com o ARN arn:aws:lambda:*:123456789012:function:source_lambda ou que sejam provenientes da VPC especificada. O operador StringNotEqualsIfExists instrui o IAM a processar essa condição somente se a chave aws:SourceVpc estiver presente na solicitação. Da mesma forma, o IAM apenas considerará o operadorArnNotEqualsIfExists somente se o lambda:SourceFunctionArn existir.