Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung der attributbasierten Zugriffskontrolle in Lambda
Mit der attributebasierten Zugriffskontrolle (ABAC) können Sie Tags verwenden, um den Zugriff auf Ihre Lambda-Ressourcen zu steuern. Sie können Tags an bestimmte Lambda-Ressourcen anhängen, sie an bestimmte API Anfragen anhängen oder sie an den Prinzipal AWS Identity and Access Management (IAM) anhängen, der die Anfrage stellt. Weitere Informationen darüber, wie attributebasierten Zugriff AWS gewährt wird, finden Sie im Benutzerhandbuch unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags. IAM
Sie können verwendenABAC, um die geringste Berechtigung zu gewähren, ohne einen Amazon-Ressourcennamen (ARN) oder ein ARN Muster in der IAM Richtlinie anzugeben. Stattdessen können Sie im Bedingungselement einer IAM Richtlinie ein Tag angeben, um den Zugriff zu kontrollieren. Die Skalierung ist einfacherABAC, da Sie Ihre IAM Richtlinien nicht aktualisieren müssen, wenn Sie neue Ressourcen erstellen. Fügen Sie stattdessen Tags zu den neuen Ressourcen hinzu, um den Zugriff zu kontrollieren.
In Lambda funktionieren Tags auf den folgenden Ressourcen:
Funktionen — Weitere Informationen zu Tagging-Funktionen finden Sie unter. Verwenden von Tags für Lambda-Funktionen
Codesignaturkonfigurationen — Weitere Informationen zum Markieren von Codesignaturkonfigurationen finden Sie unter. Verwendung von Tags in Codesignaturkonfigurationen
Zuordnungen von Ereignisquellen — Weitere Informationen zum Markieren von Ereignisquellenzuordnungen finden Sie unter. Verwenden von Tags für Ereignisquellenzuordnungen
Tags werden für Ebenen nicht unterstützt.
Sie können die folgenden Bedingungsschlüssel verwenden, um auf Tags basierende IAM Richtlinienregeln zu schreiben:
-
aws: ResourceTag /tag-key: Steuert den Zugriff anhand der Tags, die an eine Lambda-Ressource angehängt sind.
-
aws: RequestTag /tag-key: Erfordert, dass Tags in einer Anfrage vorhanden sind, z. B. beim Erstellen einer neuen Funktion.
-
aws: PrincipalTag /tag-key : Steuert anhand der Tags, die IAM ihrem Benutzer oder ihrer Rolle zugewiesen sind, was der Principal (die Person, die die Anfrage stellt) tun darf. IAM
-
aws:TagKeys: Steuert, ob bestimmte Tag-Schlüssel in einer Anfrage verwendet werden können.
Sie können nur Bedingungen für Aktionen angeben, die diese Bedingungen unterstützen. Eine Liste der Bedingungen, die von jeder Lambda-Aktion unterstützt werden, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Lambda in der Service Authorization Reference. Informationen zur Unterstützung von aws: ResourceTag /tag-key finden Sie unter „Ressourcentypen definiert von“. AWS Lambda Informationen zu aws: RequestTag /tag-key und aws: TagKeys support finden Sie unter „Aktionen definiert von“. AWS Lambda
