Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Operazioni, risorse e chiavi di condizione per AWS Lambda
AWS Lambda (prefisso del servizio:lambda) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione. IAM
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle APIoperazioni disponibili per questo servizio.
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le policy delle autorizzazioni di IAM.
Argomenti
Operazioni definite da AWS Lambda
Puoi specificare le seguenti operazioni nell'elemento Action di una dichiarazione di policy per IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una politica, in genere si consente o si nega l'accesso all'APIoperazione o al CLI comando con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, è possibile specificarne uno ARN di quel tipo in un'istruzione con tale azione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'Resourceelemento di una IAM policy, è necessario includere uno schema ARN o per ogni tipo di risorsa richiesto. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Operazioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AddLayerVersionPermission | Concede l'autorizzazione ad aggiungere autorizzazioni alla politica basata sulle risorse di una versione di un layer Lambda AWS | Gestione delle autorizzazioni | |||
| AddPermission | Concede l'autorizzazione a concedere a un AWS servizio o a un altro account l'autorizzazione a utilizzare una funzione AWS Lambda | Gestione delle autorizzazioni | |||
| CreateAlias | Concede l'autorizzazione per creare un alias per una versione di funzione Lambda | Scrittura | |||
| CreateCodeSigningConfig | Concede l'autorizzazione a creare una configurazione di firma del AWS codice Lambda | Scrittura | |||
| CreateEventSourceMapping | Concede l'autorizzazione a creare una mappatura tra un'origine di eventi e una funzione AWS Lambda | Scrittura | |||
| CreateFunction | Concede l'autorizzazione a creare una funzione AWS Lambda | Scrittura |
iam:PassRole |
||
| CreateFunctionUrlConfig | Concede l'autorizzazione per creare una configurazione di URL di funzione per una funzione Lambda | Scrittura | |||
| DeleteAlias | Concede l'autorizzazione per eliminare un alias della funzione AWS Lambda | Scrittura | |||
| DeleteCodeSigningConfig | Concede l'autorizzazione per eliminare una configurazione di firma del AWS codice Lambda | Scrittura | |||
| DeleteEventSourceMapping | Concede l'autorizzazione a eliminare una mappatura della sorgente degli AWS eventi Lambda | Scrittura | |||
| DeleteFunction | Concede l'autorizzazione per eliminare una funzione AWS Lambda | Scrittura | |||
| DeleteFunctionCodeSigningConfig | Concede l'autorizzazione a scollegare una configurazione di firma del codice da una funzione Lambda AWS | Scrittura | |||
| DeleteFunctionConcurrency | Concede l'autorizzazione a rimuovere un limite di esecuzione simultanea da una funzione AWS Lambda | Scrittura | |||
| DeleteFunctionEventInvokeConfig | Concede l'autorizzazione a eliminare la configurazione per la chiamata asincrona per una funzione, una versione o un alias AWS Lambda | Scrittura | |||
| DeleteFunctionUrlConfig | Concede l'autorizzazione per eliminare una configurazione di URL di funzione per una funzione Lambda | Scrittura | |||
| DeleteLayerVersion | Concede l'autorizzazione per eliminare una versione di un layer AWS Lambda | Scrittura | |||
| DeleteProvisionedConcurrencyConfig | Concede l'autorizzazione a eliminare la configurazione di concorrenza fornita per una funzione Lambda AWS | Scrittura | |||
| DisableReplication [solo autorizzazione] | Concede l'autorizzazione per disabilitare la replica per una funzione Lambda@Edge | Gestione delle autorizzazioni | |||
| EnableReplication [solo autorizzazione] | Concede l'autorizzazione per abilitare la replica per una funzione Lambda@Edge | Gestione delle autorizzazioni | |||
| GetAccountSettings | Concede l'autorizzazione a visualizzare i dettagli sui limiti e sull'utilizzo di un account in un Regione AWS | Lettura | |||
| GetAlias | Concede l'autorizzazione a visualizzare i dettagli su un alias di funzione AWS Lambda | Lettura | |||
| GetCodeSigningConfig | Concede l'autorizzazione a visualizzare i dettagli su una configurazione di firma del AWS codice Lambda | Lettura | |||
| GetEventSourceMapping | Concede l'autorizzazione a visualizzare i dettagli sulla mappatura delle sorgenti di un AWS evento Lambda | Lettura | |||
| GetFunction | Concede l'autorizzazione a visualizzare i dettagli su una funzione AWS Lambda | Lettura | |||
| GetFunctionCodeSigningConfig | Concede l'autorizzazione a visualizzare la configurazione di firma del codice (arn) allegata a una funzione Lambda. AWS | Lettura | |||
| GetFunctionConcurrency | Concede l'autorizzazione per visualizzare i dettagli sulla configurazione di simultaneità riservata per una funzione | Lettura | |||
| GetFunctionConfiguration | Concede l'autorizzazione a visualizzare i dettagli sulle impostazioni specifiche della versione di una funzione o versione Lambda AWS | Lettura | |||
| GetFunctionEventInvokeConfig | Concede l'autorizzazione per visualizzare la configurazione per la chiamata asincrona per una funzione, una versione o un alias | Lettura | |||
| GetFunctionRecursionConfig | Concede l'autorizzazione a visualizzare la configurazione di ricorsione di una funzione Lambda AWS | Lettura | |||
| GetFunctionUrlConfig | Concede l'autorizzazione per leggere una configurazione di URL di funzione per una funzione Lambda | Lettura | |||
| GetLayerVersion | Concede l'autorizzazione a visualizzare i dettagli su una versione di un layer AWS Lambda. Nota: questa azione supporta anche GetLayerVersionByArn API | Lettura | |||
| GetLayerVersionPolicy | Concede l'autorizzazione a visualizzare la politica basata sulle risorse per una versione di un layer Lambda AWS | Lettura | |||
| GetPolicy | Concede l'autorizzazione a visualizzare la politica basata sulle risorse per una funzione, una versione o un alias AWS Lambda | Lettura | |||
| GetProvisionedConcurrencyConfig | Concede l'autorizzazione a visualizzare la configurazione di concorrenza fornita per l'alias o la versione di una funzione AWS Lambda | Lettura | |||
| GetRuntimeManagementConfig | Concede l'autorizzazione a visualizzare la configurazione di gestione del runtime di una funzione AWS Lambda | Lettura | |||
| InvokeAsync | Concede l'autorizzazione per richiamare una funzione in modo asincrono (Obsoleto) | Scrittura | |||
| InvokeFunction | Concede l'autorizzazione a richiamare una funzione Lambda AWS | Scrittura | |||
| InvokeFunctionUrl [solo autorizzazione] | Concede l'autorizzazione a richiamare una funzione AWS Lambda tramite url | Scrittura | |||
| ListAliases | Concede l'autorizzazione a recuperare un elenco di alias per una funzione Lambda AWS | Elenco | |||
| ListCodeSigningConfigs | Concede l'autorizzazione a recuperare un elenco di configurazioni di firma del codice AWS Lambda | Elenco | |||
| ListEventSourceMappings | Concede l'autorizzazione a recuperare un elenco di mappature delle sorgenti degli eventi AWS Lambda | Elenco | |||
| ListFunctionEventInvokeConfigs | Concede l'autorizzazione per recuperare un elenco di configurazioni per la chiamata asincrona per una funzione | Elenco | |||
| ListFunctionUrlConfigs | Concede l'autorizzazione per leggere le configurazioni di URL di funzione per una funzione | Elenco | |||
| ListFunctions | Concede l'autorizzazione a recuperare un elenco di funzioni AWS Lambda, con la configurazione specifica della versione di ciascuna funzione | Elenco | |||
| ListFunctionsByCodeSigningConfig | Concede l'autorizzazione a recuperare un elenco di funzioni AWS Lambda tramite la configurazione di firma del codice assegnata | Elenco | |||
| ListLayerVersions | Concede l'autorizzazione a recuperare un elenco di versioni di un layer AWS Lambda | Elenco | |||
| ListLayers | Concede l'autorizzazione a recuperare un elenco di layer AWS Lambda, con dettagli sulla versione più recente di ogni layer | Elenco | |||
| ListProvisionedConcurrencyConfigs | Concede l'autorizzazione a recuperare un elenco di configurazioni di concorrenza assegnate per una funzione Lambda AWS | Elenco | |||
| ListTags | Concede l'autorizzazione a recuperare un elenco di tag per una funzione AWS Lambda, una mappatura dell'origine degli eventi o una risorsa di configurazione per la firma del codice | Lettura | |||
| ListVersionsByFunction | Concede l'autorizzazione a recuperare un elenco di versioni per una funzione AWS Lambda | Elenco | |||
| PublishLayerVersion | Concede l'autorizzazione a creare un layer AWS Lambda | Scrittura | |||
| PublishVersion | Concede l'autorizzazione a creare una versione della funzione AWS Lambda | Scrittura | |||
| PutFunctionCodeSigningConfig | Concede l'autorizzazione per allegare una configurazione di firma del codice a una funzione AWS Lambda | Scrittura | |||
| PutFunctionConcurrency | Concede l'autorizzazione a configurare la concorrenza riservata per una funzione AWS Lambda | Scrittura | |||
| PutFunctionEventInvokeConfig | Concede l'autorizzazione a configurare le opzioni per la chiamata asincrona su una funzione, una versione o un alias AWS Lambda | Scrittura | |||
| PutFunctionRecursionConfig | Concede l'autorizzazione ad aggiornare la configurazione di ricorsione di una funzione Lambda AWS | Scrittura | |||
| PutProvisionedConcurrencyConfig | Concede l'autorizzazione a configurare la concorrenza fornita per l'alias o la versione di una funzione AWS Lambda | Scrittura | |||
| PutRuntimeManagementConfig | Concede l'autorizzazione ad aggiornare la configurazione di gestione del runtime di una funzione AWS Lambda | Scrittura | |||
| RemoveLayerVersionPermission | Concede l'autorizzazione a rimuovere una dichiarazione dalla politica delle autorizzazioni per una versione di un layer AWS Lambda | Gestione delle autorizzazioni | |||
| RemovePermission | Concede l'autorizzazione a revocare l'autorizzazione all'uso delle funzioni da un servizio o da un altro account AWS | Gestione delle autorizzazioni | |||
| TagResource | Concede l'autorizzazione ad aggiungere tag a una funzione AWS Lambda, alla mappatura dell'origine degli eventi o a una risorsa di configurazione per la firma del codice | Assegnazione di tag | |||
| UntagResource | Concede l'autorizzazione a rimuovere i tag da una funzione AWS Lambda, dalla mappatura dell'origine degli eventi o da una risorsa di configurazione per la firma del codice | Assegnazione di tag | |||
| UpdateAlias | Concede l'autorizzazione ad aggiornare la configurazione dell'alias di una funzione AWS Lambda | Scrittura | |||
| UpdateCodeSigningConfig | Concede l'autorizzazione ad aggiornare una configurazione di firma del AWS codice Lambda | Scrittura | |||
| UpdateEventSourceMapping | Concede l'autorizzazione ad aggiornare la configurazione di una mappatura delle sorgenti di AWS eventi Lambda | Scrittura | |||
| UpdateFunctionCode | Concede l'autorizzazione ad aggiornare il codice di una funzione AWS Lambda | Scrittura | |||
| UpdateFunctionCodeSigningConfig | Concede l'autorizzazione ad aggiornare la configurazione di firma del codice di una funzione AWS Lambda | Scrittura | |||
| UpdateFunctionConfiguration | Concede l'autorizzazione a modificare le impostazioni specifiche della versione di una funzione Lambda AWS | Scrittura | |||
| UpdateFunctionEventInvokeConfig | Concede l'autorizzazione a modificare la configurazione per la chiamata asincrona per una funzione, una versione o un alias AWS Lambda | Scrittura | |||
| UpdateFunctionUrlConfig | Concede l'autorizzazione per aggiornare una configurazione di URL di funzione per una funzione Lambda | Scrittura | |||
Tipi di risorsa definiti da AWS Lambda
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'elemento Resource delle istruzioni delle dichiarazioni di policy dell'autorizzazione IAM. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
| Tipi di risorsa | ARN | Chiavi di condizione |
|---|---|---|
| code signing config |
arn:${Partition}:lambda:${Region}:${Account}:code-signing-config:${CodeSigningConfigId}
|
|
| eventSourceMapping |
arn:${Partition}:lambda:${Region}:${Account}:event-source-mapping:${UUID}
|
|
| function |
arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}
|
|
| function alias |
arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}:${Alias}
|
|
| function version |
arn:${Partition}:lambda:${Region}:${Account}:function:${FunctionName}:${Version}
|
|
| layer |
arn:${Partition}:lambda:${Region}:${Account}:layer:${LayerName}
|
|
| layerVersion |
arn:${Partition}:lambda:${Region}:${Account}:layer:${LayerName}:${LayerVersion}
|
Chiavi di condizione per AWS Lambda
AWS Lambda definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una IAM policy. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.
| Chiavi di condizione | Descrizione | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso per i tag passati nella richiesta | Stringa |
| aws:ResourceTag/${TagKey} | Filtra l'accesso per i tag associati alla risorsa | Stringa |
| aws:TagKeys | Filtra l'accesso tramite le chiavi di tag passate nella richiesta | ArrayOfString |
| lambda:CodeSigningConfigArn | Filtra l'accesso tramite una ARN configurazione di firma del codice AWS Lambda | ARN |
| lambda:EventSourceToken | Filtra l'accesso in base all'ID da una fonte non AWS evento configurata per la funzione AWS Lambda | Stringa |
| lambda:FunctionArn | Filtra l'accesso tramite ARN una funzione AWS Lambda | ARN |
| lambda:FunctionUrlAuthType | Filtra l'accesso in base al tipo di autorizzazione specificato nella richiesta. Disponibile durante CreateFunctionUrlConfig, UpdateFunctionUrlConfig, DeleteFunctionUrlConfig GetFunctionUrlConfig ListFunctionUrlConfig, AddPermission e le operazioni RemovePermission | Stringa |
| lambda:Layer | Filtra l'accesso in ARN base a una versione di un layer AWS Lambda | ArrayOfString |
| lambda:Principal | Filtra l'accesso limitando il AWS servizio o l'account che può richiamare una funzione | Stringa |
| lambda:SecurityGroupIds | Filtra l'accesso in base all'ID dei gruppi di sicurezza configurati per la funzione AWS Lambda | ArrayOfString |
| lambda:SourceFunctionArn | Filtra l'accesso in ARN base alla funzione AWS Lambda da cui proviene la richiesta | ARN |
| lambda:SubnetIds | Filtra l'accesso in base all'ID delle sottoreti configurate per la funzione AWS Lambda | ArrayOfString |
| lambda:VpcIds | Filtra l'accesso in base all'ID del VPC configurato per la funzione AWS Lambda | Stringa |
