Control de acceso basado en atributos para Lambda

Con el control de acceso basado en atributos (ABAC), puede utilizar etiquetas para controlar el acceso a los recursos de Lambda. Puede adjuntar etiquetas a determinados recursos de Lambda, adjuntarlas a determinadas solicitudes de API o adjuntarlas a la entidad principal de AWS Identity and Access Management (IAM) que lleva a cabo la solicitud. Para obtener más información sobre cómo AWS concede el acceso basado en atributos, consulte Controlar el acceso a los recursos de AWS mediante etiquetas en la Guía del usuario de IAM.

Puede usar ABAC para conceder el privilegio mínimo sin especificar un nombre de recurso de Amazon (ARN) o un patrón de ARN en la política de IAM. En su lugar, puede especificar una etiqueta en el elemento de condición de una política de IAM para controlar el acceso. El escalado es más fácil con ABAC porque no tiene que actualizar las políticas de IAM cuando crea nuevos recursos. En cambio, agregue etiquetas a los nuevos recursos para controlar el acceso.

En Lambda, las etiquetas funcionan con los siguientes recursos:

Funciones: para obtener más información sobre el etiquetado de funciones, consulte Uso de etiquetas en funciones de Lambda.
Configuraciones de firma de código: para obtener más información sobre el etiquetado de configuraciones de firma de código, consulte Uso de etiquetas en configuraciones de firma de código.
Asignaciones de orígenes de eventos: para obtener más información sobre el etiquetado de las asignaciones de orígenes de eventos, consulte Uso de etiquetas en asignaciones de orígenes de eventos.

Las etiquetas no son compatibles con capas.

Puede utilizar las siguientes claves de condición para escribir reglas de política de IAM basadas en etiquetas:

aws:ResourceTag/tag-key: controle el acceso en función de las etiquetas que se adjuntan a un recurso de Lambda.
aws:RequestTag/tag-key: solicite que las etiquetas estén presentes en una solicitud, por ejemplo, al crear una nueva función.
aws:PrincipalTag/tag-key: controle lo que la entidad principal de IAM (la persona que hace la solicitud) está autorizada a hacer en función de las etiquetas que se adjuntan a su usuario o rol de IAM.
aws:TagKeys: controle si se pueden utilizar claves de etiquetas específicas en una solicitud.

Solo puede especificar las condiciones para las acciones que las respalden. Para obtener una lista de condiciones que admite cada acción de Lambda, consulte Acciones, recursos y claves de condición para AWS Lambda en la Referencia de autorizaciones de servicio. Para obtener información sobre la compatibilidad con aws:ResourceTag/tag-key, consulte “Tipos de recursos definidos por AWS Lambda”. Para obtener información sobre la compatibilidad con aws:RequestTag/tag-key y aws:TagKeys, consulte la sección “Acciones definidas por AWS Lambda”.

Temas

Protección de las funciones por etiqueta

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso a las capas para otras cuentas

Protección de las funciones por etiqueta