Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para AWS Lambda
AWS Lambda (prefijo de servicio:lambda) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos. IAM
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las APIoperaciones disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos deIAM.
Temas
Acciones definidas por AWS Lambda
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, se suele permitir o denegar el acceso a la API operación o al CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AddLayerVersionPermission | Otorga permiso para añadir permisos a la política basada en recursos de una versión de una capa Lambda AWS | Administración de permisos | |||
| AddPermission | Otorga permiso para dar permiso a un AWS servicio o a otra cuenta para usar una función AWS Lambda | Administración de permisos | |||
| CreateAlias | Concede permiso para crear un alias para una versión de función de Lambda | Escritura | |||
| CreateCodeSigningConfig | Otorga permiso para crear una configuración de firma de código AWS Lambda | Escritura | |||
| CreateEventSourceMapping | Otorga permiso para crear un mapeo entre una fuente de eventos y una AWS función Lambda | Escritura | |||
| CreateFunction | Concede permiso para crear una función AWS Lambda | Escritura |
iam:PassRole |
||
| CreateFunctionUrlConfig | Concede permiso para crear una configuración de url de función para una función Lambda | Escritura | |||
| DeleteAlias | Concede permiso para eliminar un alias de AWS función Lambda | Escritura | |||
| DeleteCodeSigningConfig | Otorga permiso para eliminar una configuración de firma de código AWS Lambda | Escritura | |||
| DeleteEventSourceMapping | Otorga permiso para eliminar un mapeo de origen de eventos de AWS Lambda | Escritura | |||
| DeleteFunction | Concede permiso para eliminar una función AWS Lambda | Escritura | |||
| DeleteFunctionCodeSigningConfig | Otorga permiso para separar una configuración de firma de código de una función AWS Lambda | Escritura | |||
| DeleteFunctionConcurrency | Concede permiso para eliminar un límite de ejecución simultánea de una función AWS Lambda | Escritura | |||
| DeleteFunctionEventInvokeConfig | Concede permiso para eliminar la configuración de la invocación asíncrona de una función, versión o alias de AWS Lambda | Escritura | |||
| DeleteFunctionUrlConfig | Concede permiso para eliminar configuración de url de función para una función Lambda | Escritura | |||
| DeleteLayerVersion | Concede permiso para eliminar una versión de una capa AWS Lambda | Escritura | |||
| DeleteProvisionedConcurrencyConfig | Concede permiso para eliminar la configuración de simultaneidad aprovisionada para una función Lambda AWS | Escritura | |||
| DisableReplication [solo permiso] | Concede permiso para desactivar la replicación para una función de Lambda@Edge | Permissions management | |||
| EnableReplication [solo permiso] | Concede permiso para habilitar la replicación para una función de Lambda@Edge | Administración de permisos | |||
| GetAccountSettings | Otorga permiso para ver los detalles sobre los límites y el uso de una cuenta en un Región de AWS | Lectura | |||
| GetAlias | Otorga permiso para ver detalles sobre un alias de AWS función Lambda | Lectura | |||
| GetCodeSigningConfig | Otorga permiso para ver los detalles de una configuración de firma de código AWS Lambda | Lectura | |||
| GetEventSourceMapping | Otorga permiso para ver detalles sobre un mapeo de origen de eventos de AWS Lambda | Lectura | |||
| GetFunction | Otorga permiso para ver detalles sobre una AWS función Lambda | Lectura | |||
| GetFunctionCodeSigningConfig | Otorga permiso para ver el arn de configuración de firma de código adjunto a una función AWS Lambda | Lectura | |||
| GetFunctionConcurrency | Concede permiso para ver detalles sobre la configuración de simultaneidad reservada para una función | Lectura | |||
| GetFunctionConfiguration | Otorga permiso para ver detalles sobre los ajustes específicos de la versión de una función o versión de AWS Lambda | Lectura | |||
| GetFunctionEventInvokeConfig | Concede permiso para ver la configuración de invocación asincrónica de una función, versión o alias | Lectura | |||
| GetFunctionRecursionConfig | Otorga permiso para ver la configuración de recursión de una función AWS Lambda | Lectura | |||
| GetFunctionUrlConfig | Concede permiso para leer la configuración url de función para una función Lambda | Lectura | |||
| GetLayerVersion | Otorga permiso para ver detalles sobre una versión de una AWS capa Lambda. Tenga en cuenta que esta acción también admite GetLayerVersionByArn API | Lectura | |||
| GetLayerVersionPolicy | Otorga permiso para ver la política basada en recursos de una versión de una capa Lambda AWS | Lectura | |||
| GetPolicy | Otorga permiso para ver la política basada en recursos de una función, versión o alias de AWS Lambda | Lectura | |||
| GetProvisionedConcurrencyConfig | Otorga permiso para ver la configuración de simultaneidad aprovisionada para el alias o la versión de una función de AWS Lambda | Lectura | |||
| GetRuntimeManagementConfig | Otorga permiso para ver la configuración de administración del tiempo de ejecución de una AWS función Lambda | Lectura | |||
| InvokeAsync | Concede permiso para invocar una función de forma asíncrona (Obsoleto) | Escritura | |||
| InvokeFunction | Otorga permiso para invocar una función AWS Lambda | Escritura | |||
| InvokeFunctionUrl [solo permiso] | Otorga permiso para invocar una función AWS Lambda a través de una URL | Escritura | |||
| ListAliases | Concede permiso para recuperar una lista de alias para una función AWS Lambda | Enumeración | |||
| ListCodeSigningConfigs | Concede permiso para recuperar una lista de configuraciones de AWS firma de código Lambda | Enumeración | |||
| ListEventSourceMappings | Otorga permiso para recuperar una lista de mapeos de AWS fuentes de eventos Lambda | Enumeración | |||
| ListFunctionEventInvokeConfigs | Concede permiso para recuperar una lista de configuraciones para la invocación asíncrona de una función | Enumeración | |||
| ListFunctionUrlConfigs | Concede permiso para leer las configuraciones de url de funciones para una función | Enumeración | |||
| ListFunctions | Concede permiso para recuperar una lista de funciones AWS Lambda, con la configuración específica de cada versión de cada función | Enumeración | |||
| ListFunctionsByCodeSigningConfig | Otorga permiso para recuperar una lista de funciones AWS Lambda mediante la configuración de firma de código asignada | Enumeración | |||
| ListLayerVersions | Otorga permiso para recuperar una lista de versiones de una capa AWS Lambda | Enumeración | |||
| ListLayers | Otorga permiso para recuperar una lista de capas AWS Lambda, con detalles sobre la última versión de cada capa | Enumeración | |||
| ListProvisionedConcurrencyConfigs | Otorga permiso para recuperar una lista de configuraciones de simultaneidad aprovisionadas para una función Lambda AWS | Enumeración | |||
| ListTags | Otorga permiso para recuperar una lista de etiquetas para un recurso de configuración de función AWS Lambda, mapeo de fuentes de eventos o firma de código | Lectura | |||
| ListVersionsByFunction | Concede permiso para recuperar una lista de versiones de una función AWS Lambda | Enumeración | |||
| PublishLayerVersion | Concede permiso para crear una capa AWS Lambda | Escritura | |||
| PublishVersion | Otorga permiso para crear una versión de la AWS función Lambda | Escritura | |||
| PutFunctionCodeSigningConfig | Otorga permiso para adjuntar una configuración de firma de código a una AWS función Lambda | Escritura | |||
| PutFunctionConcurrency | Concede permiso para configurar la simultaneidad reservada para una función AWS Lambda | Escritura | |||
| PutFunctionEventInvokeConfig | Otorga permiso para configurar opciones para la invocación asíncrona en una función, versión o alias de AWS Lambda | Escritura | |||
| PutFunctionRecursionConfig | Concede permiso para actualizar la configuración de recursión de una función AWS Lambda | Escritura | |||
| PutProvisionedConcurrencyConfig | Otorga permiso para configurar la simultaneidad aprovisionada para el alias o la versión de una función de AWS Lambda | Escritura | |||
| PutRuntimeManagementConfig | Concede permiso para actualizar la configuración de administración del tiempo de ejecución de una AWS función Lambda | Escritura | |||
| RemoveLayerVersionPermission | Concede permiso para eliminar una declaración de la política de permisos de una versión de una capa AWS Lambda | Administración de permisos | |||
| RemovePermission | Otorga permiso para revocar el permiso de uso de funciones de un AWS servicio u otra cuenta | Administración de permisos | |||
| TagResource | Otorga permiso para añadir etiquetas a un recurso de configuración de función AWS Lambda, mapeo de fuentes de eventos o firma de código | Etiquetado | |||
| UntagResource | Otorga permiso para eliminar etiquetas de un recurso de configuración de funciones AWS Lambda, fuentes de eventos, mapeo o firma de código | Etiquetado | |||
| UpdateAlias | Otorga permiso para actualizar la configuración del alias de una función AWS Lambda | Escritura | |||
| UpdateCodeSigningConfig | Otorga permiso para actualizar una configuración de firma de código AWS Lambda | Escritura | |||
| UpdateEventSourceMapping | Otorga permiso para actualizar la configuración de un mapeo de origen de eventos AWS Lambda | Escritura | |||
| UpdateFunctionCode | Concede permiso para actualizar el código de una función AWS Lambda | Escritura | |||
| UpdateFunctionCodeSigningConfig | Concede permiso para actualizar la configuración de firma de código de una función AWS Lambda | Escritura | |||
| UpdateFunctionConfiguration | Otorga permiso para modificar la configuración específica de la versión de una función Lambda AWS | Escritura | |||
| UpdateFunctionEventInvokeConfig | Otorga permiso para modificar la configuración de la invocación asíncrona de una función, versión o alias de AWS Lambda | Escritura | |||
| UpdateFunctionUrlConfig | Concede permiso para actualizar una configuración de url de función para una función Lambda | Escritura | |||
Tipos de recursos definidos por AWS Lambda
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| code signing config |
arn:${Partition}:lambda:${Region}:${Account}:code-signing-config:${CodeSigningConfigId}
|
|
| eventSourceMapping |
arn:${Partition}:lambda:${Region}:${Account}:event-source-mapping:${UUID}
|
|
| function |
arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}
|
|
| function alias |
arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}:${Alias}
|
|
| function version |
arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}:${Version}
|
|
| layer |
arn:${Partition}:lambda:${Region}:${Account}:layer:${LayerName}
|
|
| layerVersion |
arn:${Partition}:lambda:${Region}:${Account}:layer:${LayerName}:${LayerVersion}
|
Claves de condición para AWS Lambda
AWS Lambda define las siguientes claves de condición que se pueden usar en el Condition elemento de una IAM política. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso por las etiquetas que se pasan en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por las etiquetas asociadas al recurso | Cadena |
| aws:TagKeys | Filtra el acceso por las claves de etiquetas que se pasan en la solicitud | ArrayOfString |
| lambda:CodeSigningConfigArn | Filtra el acceso mediante una ARN configuración de firma de código AWS Lambda | ARN |
| lambda:EventSourceToken | Filtra el acceso por el ID desde una fuente sin AWS eventos configurada para la función AWS Lambda | Cadena |
| lambda:FunctionArn | Filtra el acceso mediante ARN una función AWS Lambda | ARN |
| lambda:FunctionUrlAuthType | Filtra el acceso por tipo de autorización especificado en la solicitud Disponible durante CreateFunctionUrlConfig las UpdateFunctionUrlConfig operaciones DeleteFunctionUrlConfig, GetFunctionUrlConfig, ListFunctionUrlConfig, AddPermission y RemovePermission | Cadena |
| lambda:Layer | Filtra el ARN acceso mediante una versión de una capa AWS Lambda | ArrayOfString |
| lambda:Principal | Filtra el acceso restringiendo el AWS servicio o la cuenta que puede invocar una función | Cadena |
| lambda:SecurityGroupIds | Filtra el acceso por el identificador de los grupos de seguridad configurados para la AWS función Lambda | ArrayOfString |
| lambda:SourceFunctionArn | Filtra el acceso por ARN la función AWS Lambda desde la que se originó la solicitud | ARN |
| lambda:SubnetIds | Filtra el acceso por el identificador de las subredes configuradas para la función AWS Lambda | ArrayOfString |
| lambda:VpcIds | Filtra el acceso por el ID de la función AWS Lambda VPC configurada | Cadena |
