Acciones, recursos y claves de condición para AWS Lambda
AWS Lambda (prefijo de servicio: lambda) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por AWS Lambda
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AddLayerVersionPermission | Concede permiso para agregar permisos a la política basada en recursos de una versión de una capa de AWS Lambda | Permissions management | |||
| AddPermission | Concede permiso para dar a un servicio de AWS u otra cuenta permiso para utilizar una función de AWS Lambda | Permissions management | |||
| CreateAlias | Concede permiso para crear un alias para una versión de función de Lambda | Write | |||
| CreateCodeSigningConfig | Concede permiso para crear una configuración de firma de código de AWS Lambda | Write | |||
| CreateEventSourceMapping | Concede permiso para crear una asignación entre un origen de eventos y una función de AWS Lambda | Write | |||
| CreateFunction | Concede permiso para crear una función de AWS Lambda | Escritura |
iam:PassRole |
||
| CreateFunctionUrlConfig | Concede permiso para crear una configuración de url de función para una función Lambda | Escritura | |||
| DeleteAlias | Concede permiso para eliminar un alias de función de AWS Lambda | Write | |||
| DeleteCodeSigningConfig | Concede permiso para eliminar una configuración de firma de código de AWS Lambda | Write | |||
| DeleteEventSourceMapping | Concede permiso para eliminar una asignación de origen de eventos de AWS Lambda | Write | |||
| DeleteFunction | Concede permiso para eliminar una función de AWS Lambda | Write | |||
| DeleteFunctionCodeSigningConfig | Concede permiso para desconectar una configuración de firma de código de una función de AWS Lambda | Write | |||
| DeleteFunctionConcurrency | Concede permiso para eliminar un límite de ejecución simultánea de una función de AWS Lambda | Write | |||
| DeleteFunctionEventInvokeConfig | Concede permiso para eliminar la configuración para la invocación asíncrona de una función, una versión o un alias de AWS Lambda | Escritura | |||
| DeleteFunctionUrlConfig | Concede permiso para eliminar configuración de url de función para una función Lambda | Escritura | |||
| DeleteLayerVersion | Concede permiso para eliminar una versión de una capa de AWS Lambda | Write | |||
| DeleteProvisionedConcurrencyConfig | Concede permiso para eliminar la configuración de simultaneidad aprovisionada para una función de AWS Lambda | Write | |||
| DisableReplication [solo permiso] | Concede permiso para desactivar la replicación para una función de Lambda@Edge | Permissions management | |||
| EnableReplication [solo permiso] | Concede permiso para habilitar la replicación para una función de Lambda@Edge | Permissions management | |||
| GetAccountSettings | Concede permiso para ver detalles sobre los límites y el uso de una cuenta en una Región de AWS | Read | |||
| GetAlias | Concede permiso para ver detalles sobre un alias de función de AWS Lambda | Read | |||
| GetCodeSigningConfig | Concede permiso para ver detalles sobre una configuración de firma de código de AWS Lambda | Read | |||
| GetEventSourceMapping | Concede permiso para ver detalles sobre una asignación de origen de eventos de AWS Lambda | Read | |||
| GetFunction | Concede permiso para ver detalles sobre una función de AWS Lambda | Read | |||
| GetFunctionCodeSigningConfig | Concede permiso para ver el ARN de la configuración de firma de código adjuntada a una función de AWS Lambda | Read | |||
| GetFunctionConcurrency | Concede permiso para ver detalles sobre la configuración de simultaneidad reservada para una función | Read | |||
| GetFunctionConfiguration | Concede permiso para ver detalles sobre la configuración específica de la versión de una función o una versión de AWS Lambda | Read | |||
| GetFunctionEventInvokeConfig | Concede permiso para ver la configuración de invocación asincrónica de una función, versión o alias | Leer | |||
| GetFunctionRecursionConfig | Concede permiso para ver la configuración de recursividad de una función de AWS Lambda | Leer | |||
| GetFunctionUrlConfig | Concede permiso para leer la configuración url de función para una función Lambda | Leer | |||
| GetLayerVersion | Concede permiso para ver detalles sobre una versión de una capa de AWS Lambda. Tenga en cuenta que esta acción también es compatible con la API GetLayerVersionByArn | Read | |||
| GetLayerVersionPolicy | Concede permiso para ver la política basada en recursos para una versión de una capa de AWS Lambda | Read | |||
| GetPolicy | Concede permiso para ver la política basada en recursos para una función, una versión o un alias de AWS Lambda | Read | |||
| GetProvisionedConcurrencyConfig | Concede permiso para ver la configuración de simultaneidad aprovisionada para el alias o la versión de una función de AWS Lambda | Leer | |||
| GetRuntimeManagementConfig | Otorga permiso para ver la configuración de administración del tiempo de ejecución de una función de AWS Lambda. | Leer | |||
| InvokeAsync | Concede permiso para invocar una función de forma asíncrona (Obsoleto) | Escritura | |||
| InvokeFunction | Concede permiso para invocar una función de AWS Lambda | Escritura | |||
| InvokeFunctionUrl [solo permiso] | Concede permiso para invocar una función de AWS Lambda a través de url | Escritura | |||
| ListAliases | Concede permiso para recuperar una lista de alias para una función de AWS Lambda | List | |||
| ListCodeSigningConfigs | Concede permiso para recuperar una lista de configuraciones de firma de código de AWS Lambda | List | |||
| ListEventSourceMappings | Concede permiso para recuperar una lista de asignaciones de origen de eventos de AWS Lambda | List | |||
| ListFunctionEventInvokeConfigs | Concede permiso para recuperar una lista de configuraciones para la invocación asíncrona de una función | Enumeración | |||
| ListFunctionUrlConfigs | Concede permiso para leer las configuraciones de url de funciones para una función | Enumeración | |||
| ListFunctions | Concede permiso para recuperar una lista de funciones de AWS Lambda, con la configuración específica de la versión de cada función | List | |||
| ListFunctionsByCodeSigningConfig | Concede permiso para recuperar una lista de funciones de AWS Lambda según la configuración de firma de código asignada | List | |||
| ListLayerVersions | Concede permiso para recuperar una lista de versiones de una capa de AWS Lambda | List | |||
| ListLayers | Concede permiso para recuperar una lista de capas de AWS Lambda, con detalles sobre la última versión de cada una | List | |||
| ListProvisionedConcurrencyConfigs | Concede permiso para recuperar una lista de configuraciones de simultaneidad aprovisionadas para una función de AWS Lambda | Enumeración | |||
| ListTags | Concede permiso para recuperar una lista de etiquetas para una función de AWS Lambda, una asignación de orígenes de eventos o un recurso de configuración de firma de código | Leer | |||
| ListVersionsByFunction | Concede permiso para recuperar una lista de versiones para una función de AWS Lambda | List | |||
| PublishLayerVersion | Concede permiso para crear una capa de AWS Lambda | Write | |||
| PublishVersion | Concede permiso para crear una versión de una función de AWS Lambda | Write | |||
| PutFunctionCodeSigningConfig | Concede permiso para adjuntar una configuración de firma de código a una función de AWS Lambda | Write | |||
| PutFunctionConcurrency | Concede permiso para configurar la simultaneidad reservada para una función de AWS Lambda | Write | |||
| PutFunctionEventInvokeConfig | Concede permiso para configurar opciones para la invocación asíncrona en una función, una versión o un alias de AWS Lambda | Escritura | |||
| PutFunctionRecursionConfig | Concede permiso para actualizar la configuración de recursión de una función de AWS Lambda | Escritura | |||
| PutProvisionedConcurrencyConfig | Concede permiso para configurar la simultaneidad aprovisionada para el alias o la versión de una función de AWS Lambda | Escritura | |||
| PutRuntimeManagementConfig | Otorga permiso para actualizar la configuración de administración de un tiempo de ejecución de una función de AWS Lambda | Escritura | |||
| RemoveLayerVersionPermission | Concede permiso para quitar una instrucción de la política de permisos para una versión de una capa de AWS Lambda | Permissions management | |||
| RemovePermission | Concede permiso para revocar el permiso de uso de funciones concedido a un servicio de AWS u otra cuenta | Administración de permisos | |||
| TagResource | Concede permiso para agregar etiquetas a una función de AWS Lambda, una asignación de orígenes de eventos o un recurso de configuración de firma de código | Etiquetado | |||
| UntagResource | Concede permiso para eliminar etiquetas de una función de AWS Lambda, una asignación de orígenes de eventos o un recurso de configuración de firma de código | Etiquetado | |||
| UpdateAlias | Concede permiso para actualizar la configuración del alias de una función de AWS Lambda | Write | |||
| UpdateCodeSigningConfig | Concede permiso para actualizar una configuración de firma de código de AWS Lambda | Write | |||
| UpdateEventSourceMapping | Concede permiso para actualizar la configuración de una asignación de origen de eventos de AWS Lambda | Write | |||
| UpdateFunctionCode | Concede permiso para actualizar el código de una función de AWS Lambda | Write | |||
| UpdateFunctionCodeSigningConfig | Concede permiso para actualizar la configuración de firma de código de una función de AWS Lambda | Write | |||
| UpdateFunctionConfiguration | Concede permiso para modificar la configuración específica de la versión de una función de AWS Lambda | Write | |||
| UpdateFunctionEventInvokeConfig | Concede permiso para modificar la configuración para la invocación asíncrona de una función, una versión o un alias de AWS Lambda | Escritura | |||
| UpdateFunctionUrlConfig | Concede permiso para actualizar una configuración de url de función para una función Lambda | Escritura | |||
Tipos de recursos definidos por AWS Lambda
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| code signing config |
arn:${Partition}:lambda:${Region}:${Account}:code-signing-config:${CodeSigningConfigId}
|
|
| eventSourceMapping |
arn:${Partition}:lambda:${Region}:${Account}:event-source-mapping:${UUID}
|
|
| function |
arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}
|
|
| function alias |
arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}:${Alias}
|
|
| function version |
arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}:${Version}
|
|
| layer |
arn:${Partition}:lambda:${Region}:${Account}:layer:${LayerName}
|
|
| layerVersion |
arn:${Partition}:lambda:${Region}:${Account}:layer:${LayerName}:${LayerVersion}
|
Claves de condición para AWS Lambda
AWS Lambda define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso por las etiquetas que se pasan en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por las etiquetas asociadas al recurso | Cadena |
| aws:TagKeys | Filtra el acceso por las claves de etiquetas que se pasan en la solicitud | ArrayOfString |
| lambda:CodeSigningConfigArn | Filtra el acceso según el ARN de una configuración de firma de código de AWS Lambda | ARN |
| lambda:EventSourceToken | Filtra el acceso por el ID desde una fuente sin eventos AWS configurada para la función de Lambda AWS | Cadena |
| lambda:FunctionArn | Filtra el acceso según el ARN de una función de AWS Lambda | ARN |
| lambda:FunctionUrlAuthType | Filtra el acceso por tipo de autorización especificado en la solicitud Disponible durante las operaciones CreateFunctionUrlConfig, UpdateFunctionUrlConfig, DeleteFunctionUrlConfig, GetFunctionUrlConfig, ListFunctionUrlConfig, AddPermission y RemovePermission | Cadena |
| lambda:Layer | Filtra el acceso según el ARN de una versión de una capa de AWS Lambda | ArrayOfString |
| lambda:Principal | Filtra el acceso restringiendo la cuenta o el servicio de AWS que puede invocar una función | Cadena |
| lambda:SecurityGroupIds | Filtra el acceso según el ID de los grupos de seguridad configurados para la función de AWS Lambda. | ArrayOfString |
| lambda:SourceFunctionArn | Filtra el acceso por el ARN de la función de AWS Lambda a partir de la que se originó la solicitud | ARN |
| lambda:SubnetIds | Filtra el acceso según el ID de las subredes configuradas para la función de AWS Lambda. | ArrayOfString |
| lambda:VpcIds | Filtra el acceso según el ID de la VPC configurada para la función de AWS Lambda | Cadena |
