要授予用户访问代码签名 API 操作的权限,请将一个或多个策略声明附加到用户策略。有关用户策略的详细信息,请参阅Lambda 的基于身份的 IAM policy。
以下示例策略声明将授予创建、更新和检索代码签名配置的权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateCodeSigningConfig",
"lambda:UpdateCodeSigningConfig",
"lambda:GetCodeSigningConfig"
],
"Resource": "*"
}
]
} 管理员可以使用 CodeSigningConfigArn 条件键指定开发人员创建或更新函数时必须使用的代码签名配置。
以下示例策略声明将授予创建函数的权限。策略声明包括指定允许的代码签名配置的 lambda:CodeSigningConfigArn 条件。如果 CodeSigningConfigArn 参数缺失或与条件中的值不匹配,Lambda 会阻止任何 CreateFunction API 请求。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReferencingCodeSigningConfig",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
],
"Resource": "*",
"Condition": {
"StringEquals": {
"lambda:CodeSigningConfigArn":
“arn:aws:lambda:us-west-2:123456789012:code-signing-config:csc-0d4518bd353a0a7c6”
}
}
}
]
} 