Gestione delle autorizzazioni in AWS Lambda

Puoi utilizzare AWS Identity and Access Management (IAM) per gestire le autorizzazioni in AWS Lambda. Esistono due categorie principali di autorizzazioni da considerare quando si lavora con le funzioni Lambda:

Autorizzazioni necessarie alle funzioni Lambda per eseguire operazioni API e accedere ad altre risorse AWS
Autorizzazioni necessarie ad altri utenti ed entità AWS per accedere alle tue funzioni Lambda

Le funzioni Lambda spesso devono accedere ad altre risorse AWS ed eseguire varie operazioni API su tali risorse. Ad esempio, è possibile che tu disponga di una funzione Lambda che risponde a un evento aggiornando le voci in un database Amazon DynamoDB. In questo caso, la funzione necessita delle autorizzazioni per accedere al database, nonché delle autorizzazioni per inserire o aggiornare elementi in quel database.

Definisci le autorizzazioni di cui ha bisogno la tua funzione Lambda in un ruolo IAM speciale chiamato ruolo di esecuzione. In questo ruolo, puoi collegare una policy che definisca le autorizzazioni di cui la tua funzione ha bisogno per accedere ad altre risorse AWS e leggere dalle origini eventi. Ogni funzione Lambda deve avere un ruolo di esecuzione. Come minimo, il ruolo di esecuzione deve avere accesso ad Amazon CloudWatch perché le funzioni Lambda accedono a CloudWatch Logs per impostazione predefinita. Puoi collegare la policy gestita da AWSLambdaBasicExecutionRole al tuo ruolo di esecuzione per soddisfare questo requisito.

Per concedere ad altri Account AWS, organizzazioni e servizi le autorizzazioni per accedere alle tue risorse Lambda, hai alcune opzioni:

È possibile utilizzare le policy basate sull'identità per concedere agli utenti l'accesso alle risorse Lambda. Le policy basate su identità possono essere applicate direttamente agli utenti o ai gruppi e ruoli associati a un utente.
Utilizza le policy basate su risorse per assegnare ad altri account e Servizi AWS le autorizzazione per accedere alle risorse Lambda. Quando un utente prova ad accedere a una risorsa Lambda, Lambda considera sia le policy basate su identità dell'utente che la policy basata sulla risorsa della risorsa. Quando un servizio AWS come Amazon Simple Storage Service (Amazon S3) chiama la funzione Lambda, Lambda considera solo la policy basata sulla risorsa.
Puoi utilizzare un modello controllo degli accessi basato su attributi (ABAC), per controllare l'accesso alle funzioni Lambda. Con ABAC, puoi collegare i tag a una funzione Lambda, inviarli in determinate richieste API o collegarli al principale IAM da cui proviene la richiesta. Per controllare gli accessi alla funzione, puoi invece specificare gli stessi tag nell'elemento di condizione di una policy IAM.

In AWS, è consigliabile concedere solo le autorizzazioni richieste per eseguire un'attività (autorizzazioni con privilegi minimi). Per implementarlo in Lambda, consigliamo di iniziare con una policy gestita da AWS. Puoi utilizzare queste policy gestite così come sono o come punto di partenza per scrivere le tue policy più restrittive.

Per aiutarti a ottimizzare le autorizzazioni per l'accesso con privilegi minimi, Lambda fornisce alcune condizioni aggiuntive che puoi includere nelle tue policy. Per ulteriori informazioni, consulta Ottimizzazione delle sezioni Risorse e Condizioni delle policy.

Per ulteriori informazioni su IAM, consulta la Guida per l'utente di IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Tutorial

Ruolo di esecuzione (autorizzazioni per le funzioni per accedere ad altre risorse)