Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung der attributbasierten Zugriffskontrolle in Lambda
Mit attributbasierter Zugriffskontrolle (ABAC) können Sie Tags verwenden, um den Zugriff auf Ihre Lambda-Ressourcen zu steuern. Sie können Tags an bestimmte Lambda-Ressourcen anhängen, sie an bestimmte API-Anfragen anhängen oder sie an den AWS Identity and Access Management (IAM-) Principal anhängen, der die Anfrage stellt. Weitere Informationen darüber, wie attributebasierten Zugriff AWS gewährt wird, finden Sie im IAM-Benutzerhandbuch unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags.
Sie können ABAC verwenden, um die geringsten Berechtigungen zu gewähren, ohne einen Amazon-Ressourcennamen (ARN) oder ein ARN-Muster in der IAM-Richtlinie anzugeben. Stattdessen können Sie ein Tag im Bedingungselement einer IAM-Richtlinie angeben, um den Zugriff zu steuern. Die Skalierung ist mit ABAC einfacher, da Sie Ihre IAM-Richtlinien nicht aktualisieren müssen, wenn Sie neue Ressourcen erstellen. Fügen Sie stattdessen Tags zu den neuen Ressourcen hinzu, um den Zugriff zu steuern.
In Lambda funktionieren Tags für die folgenden Ressourcen:
Funktionen – Weitere Informationen zu Tagging-Funktionen finden Sie unter Verwenden von Tags für Lambda-Funktionen.
Codesignaturkonfigurationen – Weitere Informationen zum Markieren von Codesignaturkonfigurationen finden Sie unter Verwendung von Tags in Codesignatur-Konfigurationen.
Zuordnungen von Ereignisquellen – Weitere Informationen zum Markieren von Zuordnungen von Ereignisquellen finden Sie unter Verwendung von Tags für Zuordnungen von Ereignisquellen.
Tags werden für Ebenen nicht unterstützt.
Sie können die folgenden Bedingungsschlüssel verwenden, um auf Tag basierende IAM-Richtlinienregeln zu schreiben:
-
aws: ResourceTag /tag-key: Steuert den Zugriff anhand der Tags, die an eine Lambda-Ressource angehängt sind.
-
aws: RequestTag /tag-key: Erfordert, dass Tags in einer Anfrage vorhanden sind, z. B. beim Erstellen einer neuen Funktion.
-
aws: PrincipalTag /tag-key : Steuert anhand der Tags, die ihrem IAM-Benutzer oder ihrer IAM-Rolle zugewiesen sind, was der IAM-Prinzipal (die Person, die die Anfrage stellt) tun darf.
-
aws:TagKeys: Steuert, ob bestimmte Tag-Schlüssel in einer Anfrage verwendet werden können.
Sie können nur Bedingungen für Aktionen angeben, die diese Bedingungen unterstützen. Eine Liste der Bedingungen, die von jeder Lambda-Aktion unterstützt werden, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Lambda in der Referenz zur Dienstautorisierung. Informationen zur Unterstützung von aws: ResourceTag /tag-key finden Sie unter „Ressourcentypen definiert von“. AWS Lambda Informationen zu aws: RequestTag /tag-key und aws: TagKeys support finden Sie unter „Aktionen definiert von“. AWS Lambda
