Para conceder permissões a uma organização no AWS Organizations, especifique o ID da organização como o principal-org-id. O comando add-permissiono-a1b2c3d4e5f.
aws lambda add-permission \ --function-name example \ --statement-id PrincipalOrgIDExample \ --action lambda:InvokeFunction \ --principal * \ --principal-org-id o-a1b2c3d4e5f
nota
Nesse comando, Principal é *. Isso significa que todos os usuários na organização o-a1b2c3d4e5f recebem permissões de invocação de função. Se você especificar uma Conta da AWS ou um perfil como Principal, somente essa entidade principal receberá permissões de invocação da função, mas apenas se ela também fizer parte organização o-a1b2c3d4e5f.
Esse comando cria uma política baseada em recursos semelhante ao exemplo a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PrincipalOrgIDExample", "Effect": "Allow", "Principal": "*", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:us-east-2:123456789012:function:example","Condition": { "StringEquals": { "aws:PrincipalOrgID": "o-a1b2c3d4e5f" } }} ] }
Para obter mais informações, consulte aws:PrincipalOrgID no Guia do usuário do IAM.
