授與使用者存取 Lambda 層的存取權 - AWS Lambda

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授與使用者存取 Lambda 層的存取權

使用以身分識別為基礎的政策,允許使用者、使用者群組或角色在 Lambda 層上執行作業。下列政策授予使用者建立 layer 以及搭配函數使用的許可。只要圖層名稱的開頭為,資源模式就可以讓使用者在任何圖層版本中工作test-。 AWS 區域

範例 圖層開發政策
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PublishLayers",
            "Effect": "Allow",
            "Action": [
                "lambda:PublishLayerVersion"
            ],
            "Resource": "arn:aws:lambda:*:*:layer:test-*"
        },
        {
            "Sid": "ManageLayerVersions",
            "Effect": "Allow",
            "Action": [
                "lambda:GetLayerVersion",
                "lambda:DeleteLayerVersion"
            ],
            "Resource": "arn:aws:lambda:*:*:layer:test-*:*"
        }
    ]
}

您也可以使用 lambda:Layer 條件來在函數建立和設定期間強制執行 layer 的使用。例如,您可以防止使用者使用其他帳戶發佈的 layer。下列政策會將條件新增至 CreateFunction,且 UpdateFunctionConfiguration 動作需要來自帳戶 123456789012 指定的任何 layer。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigureFunctions",
            "Effect": "Allow",
            "Action": [
                "lambda:CreateFunction",
                "lambda:UpdateFunctionConfiguration"
            ],
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringLike": {
                    "lambda:Layer": [
                        "arn:aws:lambda:*:123456789012:layer:*:*"
                    ]
                }
            }
        }
    ]
}

若要確保條件是否套用,請確認沒有其他陳述式授予使用者這些動作的許可。