Como conceder acesso de função a uma organização

Para conceder permissões a uma organização no AWS Organizations, especifique o ID da organização como o principal-org-id. O comando add-permission a seguir concede acesso de invocação a todos os usuários da organização o-a1b2c3d4e5f.


aws lambda add-permission \
  --function-name example \
  --statement-id PrincipalOrgIDExample \
  --action lambda:InvokeFunction \
  --principal * \
  --principal-org-id o-a1b2c3d4e5f

nota

Nesse comando, Principal é *. Isso significa que todos os usuários na organização o-a1b2c3d4e5f recebem permissões de invocação de função. Se você especificar uma Conta da AWS ou um perfil como Principal, somente essa entidade principal receberá permissões de invocação da função, mas apenas se ela também fizer parte organização o-a1b2c3d4e5f.

Esse comando cria uma política baseada em recursos semelhante ao exemplo a seguir:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PrincipalOrgIDExample",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-east-2:123456789012:function:example",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-a1b2c3d4e5f"
                }
            }
        }
    ]
}

Para obter mais informações, consulte aws:PrincipalOrgID no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Acesso à função para o Serviços da AWS

Acesso às funções para outras contas