Utilisation de politiques AWS gérées dans le rôle d'exécution - AWS Lambda

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de politiques AWS gérées dans le rôle d'exécution

Les politiques AWS gérées suivantes fournissent les autorisations requises pour utiliser les fonctionnalités Lambda.

Modification Description Date

AWSLambdaMSKExecutionRole— Lambda a ajouté l'autorisation Kafka : DescribeCluster V2 à cette politique.

AWSLambdaMSKExecutionRoleaccorde l'autorisation de lire et d'accéder aux enregistrements d'un cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK), de gérer les interfaces réseau élastiques (ENI) et d'écrire dans des journaux. CloudWatch

17 juin 2022

AWSLambdaBasicExecutionRole— Lambda a commencé à suivre les modifications apportées à cette politique.

AWSLambdaBasicExecutionRole accorde des autorisations pour charger les journaux sur CloudWatch.

14 février 2022

AWSLambdaDynamoDBExecutionRole— Lambda a commencé à suivre les modifications apportées à cette politique.

AWSLambdaDynamoDBExecutionRoleaccorde l'autorisation de lire les enregistrements d'un flux Amazon DynamoDB et d'écrire dans Logs. CloudWatch

14 février 2022

AWSLambdaKinesisExecutionRole— Lambda a commencé à suivre les modifications apportées à cette politique.

AWSLambdaKinesisExecutionRoleaccorde l'autorisation de lire les événements d'un flux de données Amazon Kinesis et d'écrire dans Logs. CloudWatch

14 février 2022

AWSLambdaMSKExecutionRole— Lambda a commencé à suivre les modifications apportées à cette politique.

AWSLambdaMSKExecutionRoleaccorde l'autorisation de lire et d'accéder aux enregistrements d'un cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK), de gérer les interfaces réseau élastiques (ENI) et d'écrire dans des journaux. CloudWatch

14 février 2022

AWSLambdaSQSQueueExecutionRole— Lambda a commencé à suivre les modifications apportées à cette politique.

AWSLambdaSQSQueueExecutionRoleaccorde l'autorisation de lire un message depuis une file d'attente Amazon Simple Queue Service (Amazon SQS) et d'écrire dans Logs. CloudWatch

14 février 2022

AWSLambdaVPCAccessExecutionRole— Lambda a commencé à suivre les modifications apportées à cette politique.

AWSLambdaVPCAccessExecutionRoleaccorde des autorisations pour gérer les ENI au sein d'un Amazon VPC et écrire CloudWatch dans Logs.

14 février 2022

AWSXRayDaemonWriteAccess— Lambda a commencé à suivre les modifications apportées à cette politique.

AWSXRayDaemonWriteAccessaccorde des autorisations pour charger des données de suivi vers X-Ray.

14 février 2022

CloudWatchLambdaInsightsExecutionRolePolicy— Lambda a commencé à suivre les modifications apportées à cette politique.

CloudWatchLambdaInsightsExecutionRolePolicyaccorde l'autorisation d'écrire des métriques d'exécution dans CloudWatch Lambda Insights.

14 février 2022

ObjectLambdaExecutionRolePolitique Amazon S3 — Lambda a commencé à suivre les modifications apportées à cette politique.

AmazonS3ObjectLambdaExecutionRolePolicyaccorde les autorisations nécessaires pour interagir avec l'objet Lambda d'Amazon Simple Storage Service (Amazon S3) et pour écrire dans Logs. CloudWatch

14 février 2022

Pour certaines fonctionnalités, la console Lambda tente d'ajouter les autorisations manquantes au rôle d'exécution dans une stratégie gérée par le client. Ces stratégies peuvent être excessivement nombreuses. Afin d'éviter la création de stratégies supplémentaires, ajoutez les stratégies gérées AWS pertinentes au rôle d'exécution avant d'activer les fonctions.

Lorsque vous utilisez un mappage de source d'événement pour appeler votre fonction, Lambda utilise le rôle d'exécution pour lire les données d'événement. Par exemple, un mappage de source d'événement pour Kinesis lit les événements d'un flux de données et les envoie à votre fonction par lots.

Lorsqu'un service endosse un rôle dans votre compte, vous pouvez inclure les clés de contexte de condition globale aws:SourceAccount et aws:SourceArn dans votre politique d'approbation des rôles afin de limiter l'accès au rôle aux seules demandes générées par les ressources attendues. Pour plus d'informations, consultez Prévention du problème de l'adjoint confus entre services pour AWS Security Token Service.

Outre les politiques AWS gérées, la console Lambda fournit des modèles permettant de créer une politique personnalisée avec des autorisations pour des cas d'utilisation supplémentaires. Lorsque vous créez une fonction dans la console Lambda, vous pouvez choisir de créer un nouveau rôle d'exécution doté des autorisations d'un ou plusieurs modèles. Ces modèles s'appliquent également automatiquement lorsque vous créez une fonction à partir d'un plan ou lorsque vous configurez les options qui nécessitent l'accès à d'autres services. Des exemples de modèles sont disponibles dans le GitHubréférentiel de ce guide.