Conceder a usuários acesso a uma camada do Lambda
Use políticas baseadas na identidade para permitir que usuários, grupos de usuário ou perfis realizem operações em camadas do Lambda. A política a seguir concede permissões a um usuário para criar camadas e usá-las com funções. Os padrões de recursos permitem que o usuário trabalhe em qualquer Região da AWS e com qualquer versão da camada, desde que o nome da camada comece com test-.
exemplo política de desenvolvimento da camada
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublishLayers", "Effect": "Allow", "Action": [ "lambda:PublishLayerVersion" ], "Resource": "arn:aws:lambda:*:*:layer:test-*" }, { "Sid": "ManageLayerVersions", "Effect": "Allow", "Action": [ "lambda:GetLayerVersion", "lambda:DeleteLayerVersion" ], "Resource": "arn:aws:lambda:*:*:layer:test-*:*" } ] }
Também é possível impor o uso da camada durante a criação da função e a configuração com a condição lambda:Layer. Por exemplo, evite que os usuários usem camadas publicadas por outras contas. A política a seguir adiciona uma condição às ações CreateFunction e UpdateFunctionConfiguration para exigir que todas as camadas especificadas venham da conta 123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigureFunctions", "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:UpdateFunctionConfiguration" ], "Resource": "*","Condition": { "ForAllValues:StringLike": { "lambda:Layer": [ "arn:aws:lambda:*:} ] }123456789012:layer:*:*" ] } }
Para garantir que a condição se aplique, verifique se não há outras instruções concedendo ao usuário permissão para essas ações.
