Usar controle de acesso baseado em atributos no Lambda

Com o controle de acesso por atributo (ABAC), você pode usar tags para controlar o acesso aos recursos do Lambda. Você pode anexar tags a determinados recursos do Lambda, anexá-los em determinadas solicitações de API ou anexá-los à entidade principal do AWS Identity and Access Management (IAM) que está fazendo a solicitação. Para obter mais informações sobre como o AWS concede acesso baseado em atributos, consulte Controlar o acesso aos recursos da AWS usando etiquetas, no Guia do usuário do IAM.

Você pode usar o ABAC para conceder privilégio mínimo sem especificar um nome do recurso da Amazon (ARN) ou padrão de ARN na política do IAM. Em vez disso, você pode especificar uma etiqueta no elemento de condição de uma política do IAM para controlar o acesso. A escalabilidade é mais fácil com o ABAC, pois você não precisa atualizar as políticas do IAM ao criar recursos. Em vez disso, adicione tags aos novos recursos para controlar o acesso.

No Lambda, as tags funcionam nos seguintes recursos:

Funções: para obter mais informações sobre funções de marcação, consulte Utilizar etiquetas em funções do Lambda.
Configurações de assinatura de código: para obter mais informações sobre como marcar configurações de assinatura de código, consulte Uso de tags nas configurações de assinatura de código.
Mapeamentos da origem do evento: para obter mais informações sobre como marcar mapeamentos da origem do evento, consulte Uso de tags em mapeamentos da origem do evento.

Tags não são compatíveis com camadas.

Você pode usar as seguintes chaves de condição para escrever regras de política do IAM com base em tags:

aws:ResourceTag/tag-key: controlar o acesso baseado nas tags anexadas a um recurso do Lambda.
aws:RequestTag/tag-key: exigir que etiquetas estejam presentes em uma solicitação, como ao criar uma nova função.
aws:PrincipalTag/tag-key: controle o que a entidade principal do IAM (a pessoa que está fazendo a solicitação) tem permissão para fazer com base nas etiquetas anexadas ao seu respectivo usuário ou perfil do IAM.
aws:TagKeys: controle se chaves de etiquetas específicas podem ser usadas em uma solicitação.

Você só pode especificar condições para ações que sejam compatíveis. Para obter uma lista de condições compatíveis com cada ação do Lambda, consulte Actions, resources, and condition keys for AWS Lambda na Referência de autorização do serviço. Para obter suporte para aws:ResourceTag/tag-key, consulte “Resource types defined by AWS Lambda”. Para obter suporte para aws:RequestTag/tag-key e aws:TagKeys, consulte “Actions defined by AWS Lambda”.

Tópicos

Proteja suas funções por tag

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Acesso às camadas para outras contas

Proteja suas funções por tag