Octroi de l’accès de la couche Lambda à d’autres comptes

Pour partager une couche avec un autre Compte AWS, ajoutez une instruction d’autorisations entre comptes à la politique basée sur les ressources de la couche. Exécutez la commande add-layer-version-permission et spécifiez l’ID du compte en tant que principal. Dans chaque instruction, vous pouvez accorder une autorisation à un compte unique, à tous les comptes ou à une organisation dans AWS Organizations.

L’exemple suivant autorise le compte 111122223333 à accéder à la version 2 de la couche bash-runtime.

aws lambda add-layer-version-permission \
  --layer-name bash-runtime \
  --version-number 2 \  
  --statement-id xaccount \
  --action lambda:GetLayerVersion \
  --principal 111122223333 \
  --output text

Vous devez voir des résultats similaires à ce qui suit :

{"Sid":"xaccount","Effect":"Allow","Principal":{"AWS":"arn:aws:iam::111122223333:root"},"Action":"lambda:GetLayerVersion","Resource":"arn:aws:lambda:us-east-1:123456789012:layer:bash-runtime:2"}

Les autorisations ne s’appliquent qu’à une seule version de couche. Répétez le processus chaque fois que vous créez une nouvelle version de la couche.

Pour accorder l’autorisation à tous les comptes d’une organisation AWS Organizations, utilisez l’option organization-id. L’exemple suivant accorde à tous les comptes d’une organisation o-t194hfs8cz l’autorisation d’utiliser la version 3 de my-layer.

aws lambda add-layer-version-permission \
  --layer-name my-layer \
  --version-number 3 \
  --statement-id engineering-org \
  --principal '*' \
  --action lambda:GetLayerVersion \
  --organization-id o-t194hfs8cz \
  --output text

Vous devriez voir la sortie suivante :

{"Sid":"engineering-org","Effect":"Allow","Principal":"*","Action":"lambda:GetLayerVersion","Resource":"arn:aws:lambda:us-east-2:123456789012:layer:my-layer:3","Condition":{"StringEquals":{"aws:PrincipalOrgID":"o-t194hfs8cz"}}}"

Pour octroyer l’autorisation à plusieurs comptes ou organisations, vous devez ajouter plusieurs instructions.