Mengelola izin di AWS Lambda - AWS Lambda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola izin di AWS Lambda

Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk mengelola izin di AWS Lambda. Ada dua kategori utama izin yang perlu Anda pertimbangkan saat bekerja dengan fungsi Lambda:

  • Izin yang diperlukan fungsi Lambda Anda untuk API melakukan tindakan dan mengakses sumber daya lain AWS

  • Izin yang dibutuhkan AWS pengguna dan entitas lain untuk mengakses fungsi Lambda Anda

Fungsi Lambda sering perlu mengakses AWS sumber daya lain, dan melakukan berbagai API operasi pada sumber daya tersebut. Misalnya, Anda mungkin memiliki fungsi Lambda yang merespons peristiwa dengan memperbarui entri dalam database Amazon DynamoDB. Dalam hal ini, fungsi Anda memerlukan izin untuk mengakses database, serta izin untuk menempatkan atau memperbarui item dalam database tersebut.

Anda menentukan izin yang dibutuhkan fungsi Lambda Anda dalam peran IAM khusus yang disebut peran eksekusi. Dalam peran ini, Anda dapat melampirkan kebijakan yang menentukan setiap izin yang diperlukan fungsi untuk mengakses AWS sumber daya lain, dan membaca dari sumber peristiwa. Setiap fungsi Lambda harus memiliki peran eksekusi. Minimal, peran eksekusi Anda harus memiliki akses ke Amazon CloudWatch karena fungsi Lambda masuk ke Log secara CloudWatch default. Anda dapat melampirkan kebijakan AWSLambdaBasicExecutionRole terkelola ke peran eksekusi Anda untuk memenuhi persyaratan ini.

Untuk memberikan izin lain Akun AWS, organisasi, dan layanan untuk mengakses sumber daya Lambda Anda, Anda memiliki beberapa opsi:

  • Anda dapat menggunakan kebijakan berbasis identitas untuk memberi pengguna lain akses ke sumber daya Lambda Anda. Kebijakan berbasis identitas dapat berlaku untuk pengguna secara langsung, atau untuk kelompok dan peran yang terkait dengan pengguna.

  • Anda dapat menggunakan kebijakan berbasis sumber daya untuk memberikan izin akun dan AWS layanan lain untuk mengakses sumber daya Lambda Anda. Saat pengguna mencoba mengakses sumber daya Lambda, Lambda mempertimbangkan kebijakan berbasis identitas pengguna dan kebijakan berbasis sumber daya. Saat AWS layanan seperti Amazon Simple Storage Service (Amazon S3) memanggil fungsi Lambda Anda, Lambda hanya mempertimbangkan kebijakan berbasis sumber daya.

  • Anda dapat menggunakan model access control (ABAC) berbasis atribut untuk mengontrol akses ke fungsi Lambda Anda. DenganABAC, Anda dapat melampirkan tag ke fungsi Lambda, meneruskannya dalam API permintaan tertentu, atau melampirkannya ke IAM kepala sekolah yang membuat permintaan. Tentukan tag yang sama dalam elemen kondisi IAM kebijakan untuk mengontrol akses fungsi.

Di AWS, ini adalah praktik terbaik untuk hanya memberikan izin yang diperlukan untuk melakukan tugas (izin hak istimewa paling sedikit). Untuk menerapkan ini di Lambda, kami sarankan memulai dengan kebijakan AWS terkelola. Anda dapat menggunakan kebijakan terkelola ini apa adanya, atau sebagai titik awal untuk menulis kebijakan Anda sendiri yang lebih ketat.

Untuk membantu Anda menyempurnakan izin untuk akses hak istimewa paling sedikit, Lambda menyediakan beberapa ketentuan tambahan yang dapat Anda sertakan dalam kebijakan Anda. Untuk informasi selengkapnya, lihat Menyesuaikan bagian Sumber Daya dan Ketentuan kebijakan.

Untuk informasi selengkapnyaIAM, lihat Panduan IAM Pengguna.