Verwendung der attributbasierten Zugriffskontrolle in Lambda

Mit attributbasierter Zugriffskontrolle (ABAC) können Sie Tags verwenden, um den Zugriff auf Ihre Lambda-Ressourcen zu steuern. Sie können Tags an bestimmte Lambda-Ressourcen, an bestimmte API-Anforderungen oder an den AWS Identity and Access Management-(IAM)-Principal, der die Anforderung stellt, anhängen. Weitere Informationen dazu, wie AWS attributbasierten Zugriff gewährt, finden Sie unter Steuern des Zugriffs auf AWS-Ressourcen mithilfe von Tags im IAM-Benutzerhandbuch.

Sie können ABAC verwenden, um die geringsten Berechtigungen zu gewähren, ohne einen Amazon-Ressourcennamen (ARN) oder ein ARN-Muster in der IAM-Richtlinie anzugeben. Stattdessen können Sie ein Tag im Bedingungselement einer IAM-Richtlinie angeben, um den Zugriff zu steuern. Die Skalierung ist mit ABAC einfacher, da Sie Ihre IAM-Richtlinien nicht aktualisieren müssen, wenn Sie neue Ressourcen erstellen. Fügen Sie stattdessen Tags zu den neuen Ressourcen hinzu, um den Zugriff zu steuern.

In Lambda funktionieren Tags für die folgenden Ressourcen:

Funktionen – Weitere Informationen zu Tagging-Funktionen finden Sie unter Verwenden von Tags für Lambda-Funktionen.
Codesignaturkonfigurationen – Weitere Informationen zum Markieren von Codesignaturkonfigurationen finden Sie unter Verwendung von Tags in Codesignatur-Konfigurationen.
Zuordnungen von Ereignisquellen – Weitere Informationen zum Markieren von Zuordnungen von Ereignisquellen finden Sie unter Verwendung von Tags für Zuordnungen von Ereignisquellen.

Tags werden für Ebenen nicht unterstützt.

Sie können die folgenden Bedingungsschlüssel verwenden, um auf Tag basierende IAM-Richtlinienregeln zu schreiben:

aws:ResourceTag/tag-key: Steuern Sie den Zugriff basierend auf den Tags, die an eine Lambda-Funktion angefügt sind.
aws:RequestTag/tag-key: Erfordert, dass Tags in einer Anforderung vorhanden sind, z. B. beim Erstellen einer neuen Funktion.
aws:PrincipalTag/tag-key: Steuern Sie, was der IAM-Prinzipal (die Person, die die Anforderung stellt) durchführen darf, basierend auf den Tags, die an ihren IAM-Benutzer oder ihre Rolle angefügt sind.
aws:TagKeys: Steuern Sie, ob bestimmte Tag-Keys in einer Anforderung verwendet werden können.

Sie können nur Bedingungen für Aktionen angeben, die diese Bedingungen unterstützen. Eine Liste der Bedingungen, die von jeder Lambda-Aktion unterstützt werden, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Lambda in der Referenz zur Dienstautorisierung. Informationen zur Unterstützung von aws:ResourceTag/Tag-Key finden Sie unter „Ressourcentypen definiert von AWS Lambda“. Informationen zur Unterstützung von aws:RequestTag/tag-key und aws:TagKeys finden Sie unter „Aktionen definiert von AWS Lambda“.

Themen

Sichern Sie Ihre Funktionen per Tag

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ebenenzugriff für andere Konten

Sichern Sie Ihre Funktionen per Tag