# 为 Lambda 代码签名配置 IAM 策略
<a name="config-codesigning-policies"></a>

要授予用户访问 Lambda 代码签名 API 操作的权限，请将一个或多个策略声明附加到用户策略。有关用户策略的详细信息，请参阅[Lambda 的基于身份的 IAM policy](access-control-identity-based.md)。

以下示例策略声明将授予创建、更新和检索代码签名配置的权限。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "lambda:CreateCodeSigningConfig",
          "lambda:UpdateCodeSigningConfig",
          "lambda:GetCodeSigningConfig"
        ],
      "Resource": "*" 
    }
  ]
}
```

------

管理员可以使用 `CodeSigningConfigArn` 条件键指定开发人员创建或更新函数时必须使用的代码签名配置。

以下示例策略声明将授予创建函数的权限。策略声明包括指定允许的代码签名配置的 `lambda:CodeSigningConfigArn` 条件。如果 [CodeSigningConfigArn](https://docs.aws.amazon.com/lambda/latest/api/API_CreateFunction.html#lambda-CreateFunction-request-CodeSigningConfigArn) 参数缺失或与条件中的值不匹配，则 Lambda 会阻止 `CreateFunction` API 请求。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowReferencingCodeSigningConfig",
      "Effect": "Allow",
      "Action": [
        "lambda:CreateFunction"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "lambda:CodeSigningConfigArn": "arn:aws:lambda:us-east-1:111122223333:code-signing-config:csc-0d4518bd353a0a7c6"
        }
      }
    }
  ]
}
```

------