Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo del controllo degli accessi basato sugli attributi in Lambda
Con il controllo degli accessi basato su attributi (ABAC), puoi usare i tag per controllare l'accesso alle risorse Lambda. Puoi collegare i tag a determinate risorse Lambda, collegarli a determinate richieste API o collegarli al principale AWS Identity and Access Management (IAM) da cui proviene la richiesta. Per ulteriori informazioni su come AWS concede l'accesso basato sugli attributi, consulta Controllo dell'accesso alle risorse AWS tramite i tag nella Guida per l'utente di IAM.
Puoi utilizzare ABAC per concedere il privilegio minimo senza specificare un nome della risorsa Amazon (ARN) o uno schema ARN nella policy IAM. Per controllare gli accessi puoi invece specificare un tag nell'elemento di condizione di una policy IAM. La scalabilità è più facile con ABAC perché non è necessario aggiornare le policy IAM quando vengono create nuove risorse. Invece, per controllare l'accesso aggiungi i tag alle nuove risorse.
In Lambda, i tag funzionano sulle seguenti risorse:
Funzioni: per ulteriori informazioni sul tagging delle funzioni, consulta Uso dei tag sulle funzioni Lambda.
Configurazioni di firma del codice: per ulteriori informazioni sul tagging delle configurazioni di firma del codice, consulta Utilizzo di tag nelle configurazioni di firma del codice.
Strumenti di mappatura dell'origine degli eventi: per ulteriori informazioni sul tagging degli strumenti di mappatura dell'origine degli eventi, consulta Utilizzo di tag negli strumenti di mappatura dell'origine degli eventi.
I tag non sono supportati per i livelli.
È possibile utilizzare le seguenti chiavi di condizione per scrivere regole di policy IAM basate sui tag:
-
aws:ResourceTag/tag-key: controlla l'accesso in base ai tag collegati a una risorsa Lambda.
-
aws:RequestTag/tag-key: richiede che i tag siano presenti in una richiesta, ad esempio quando si crea una nuova funzione.
-
aws:PrincipalTag/tag-key: controlla se il principale IAM (la persona che effettua la richiesta) dispone dell'autorizzazione a eseguire operazioni in base ai tag collegati al suo utente o ruolo IAM.
-
aws:TagKeys: controlla se in una richiesta possono essere utilizzate chiavi di tag specifiche.
Puoi specificare solo le condizioni per le azioni che le supportano. Per un elenco delle operazioni supportate da ogni operazione Lambda, consulta Operazioni, risorse e chiavi di condizione per AWS Lambda in Service Authorization Reference. Per il supporto di aws:ResourceTag/tag-key, consulta "Tipi di risorse definiti da AWS Lambda". Per il supporto di aws:RequestTag/tag-key e aws:TagKeys, fai riferimento a "Operazioni definite da AWS Lambda".
Argomenti
