Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du contrôle d’accès basé sur les attributs dans Lambda
Avec le Contrôle d’accès par attributs (ABAC), vous pouvez utiliser des balises pour contrôler l’accès à vos fonctions Lambda. Vous pouvez attacher des balises à certaines ressources Lambda, les attacher à certaines requêtes d’API ou les attacher au principal AWS Identity and Access Management (IAM) qui effectue la requête. Pour plus d’informations sur la manière dont AWS accorde un un accès basé sur les attributs, consultez Contrôle de l’accès aux ressources AWS utilisant les balises dans le Guide de l’utilisateur IAM.
Vous pouvez utiliser ABAC pourAccorder le moindre privilège sans spécifier ni un nom ni un modèle ARN Amazon Resource Name (ARN) dans la stratégie IAM. Au lieu de cela, vous pouvez spécifier une balise dans le champ élément de condition d’une stratégie IAM pour le contrôle de l’accès. La mise à l’échelle est plus facile avec ABAC, car vous n’avez pas à mettre à jour vos politiques IAM lorsque vous créez de nouvelles ressources. Ajoutez plutôt des balises aux nouvelles ressources pour contrôler l’accès.
Dans Lambda, les balises sont utilisées sur les ressources suivantes :
Fonctions : pour plus d’informations sur les fonctions de balisage, voir Utilisation de balises sur les fonctions Lambda.
Configurations de signature de code : pour plus d’informations sur le balisage des configurations de signature de code, voir Utilisation des balises dans les configurations de signature de code.
Mappage des sources d’événements : pour plus d’informations sur le balisage du mappage des sources d’événements, voir Utilisation des balises dans les mappages des sources d’événements.
Les balises ne sont pas prises en charge pour les couches.
Vous pouvez utiliser les clés de condition suivantes pour écrire des règles de politique IAM basées sur les balises :
-
aws:ResourceTag/tag-key : Contrôler l’accès en fonction des balises attachées à une ressource Lambda.
-
aws:RequestTag/tag-key : Exiger la présence de balises dans une requête, par exemple lors de la création d’une nouvelle fonction.
-
aws:PrincipalTag/tag-key : Contrôlez ce que l’IAM mandataire (la personne à l’origine de la demande) est autorisée à faire en fonction des balises qui sont attachées à l’utilisateur ou au rôle.
-
aws:TagKeys : Contrôlez si des clés de balises spécifiques peuvent être utilisées dans une demande.
Vous ne pouvez définir des conditions que pour les actions qui les prennent en charge. Pour obtenir une liste des conditions prises en charge par chaque action Lambda, consultez la rubrique Actions, ressources et clés de condition pour AWS Lambda dans la Référence de l’autorisation de service. Pour la prise en charge d’aws:ResourceTag/tag-key, reportez-vous à « Types de ressources définis par AWS Lambda ». Pour la prise en charge d’aws:RequestTag/tag-key et aws:TagKeys, reportez-vous à « Actions définies par AWS Lambda ».
