Concessione dell'accesso ai livelli Lambda ad altri account

Per condividere un livello con un altro Account AWS, aggiungi una istruzione di autorizzazione multi-account alla policy basata sulle risorse del livello. Esegui il comando add-layer-version-permission e specifica l'ID dell'account come principal. In ogni istruzione, puoi concedere l'autorizzazione a un singolo account, a tutti gli account o a un'organizzazione in AWS Organizations.

L'esempio seguente concede all'account 111122223333 l'accesso alla versione 2 del livello bash-runtime.

aws lambda add-layer-version-permission \
  --layer-name bash-runtime \
  --version-number 2 \  
  --statement-id xaccount \
  --action lambda:GetLayerVersion \
  --principal 111122223333 \
  --output text

Verrà visualizzato un output simile al seguente:

{"Sid":"xaccount","Effect":"Allow","Principal":{"AWS":"arn:aws:iam::111122223333:root"},"Action":"lambda:GetLayerVersion","Resource":"arn:aws:lambda:us-east-1:123456789012:layer:bash-runtime:2"}

Le autorizzazioni si applicano solo a un'unica versione di un livello. Ripeti la procedura ogni volta che crei la nuova versione di un livello.

Per concedere le autorizzazioni a tutti gli account in un'organizzazione AWS Organizations, è possibile utilizzare l'opzione organization-id. L'esempio seguente concede a tutti gli account dell'organizzazione l'autorizzazione o-t194hfs8cz per utilizzare la versione 3 di my-layer.

aws lambda add-layer-version-permission \
  --layer-name my-layer \
  --version-number 3 \
  --statement-id engineering-org \
  --principal '*' \
  --action lambda:GetLayerVersion \
  --organization-id o-t194hfs8cz \
  --output text

Verrà visualizzato l'output seguente:

{"Sid":"engineering-org","Effect":"Allow","Principal":"*","Action":"lambda:GetLayerVersion","Resource":"arn:aws:lambda:us-east-2:123456789012:layer:my-layer:3","Condition":{"StringEquals":{"aws:PrincipalOrgID":"o-t194hfs8cz"}}}"

Per concedere l'autorizzazione a più account o organizzazioni, devi aggiungere più istruzioni.