Gewähren des Funktionszugriffs auf eine Organisation - AWS Lambda

Gewähren des Funktionszugriffs auf eine Organisation

Um einer Organisation Berechtigungen in AWS Organizations zu gewähren, geben Sie die Organisations-ID als principal-org-id an. Der folgende add-permission-Befehl gewährt allen Benutzern in der Organisation o-a1b2c3d4e5f Aufrufzugriff.

aws lambda add-permission \
  --function-name example \
  --statement-id PrincipalOrgIDExample \
  --action lambda:InvokeFunction \
  --principal * \
  --principal-org-id o-a1b2c3d4e5f
Anmerkung

In diesem Befehl ist Principal *. Dies bedeutet, dass alle Benutzer in der Organisation o-a1b2c3d4e5f Berechtigungen für den Funktionsaufruf erhalten. Wenn Sie ein AWS-Konto oder eine Rolle als Principal angeben, dann erhält nur dieser Prinzipal Funktionsaufrufberechtigungen, aber nur wenn er auch Teil der Organisation o-a1b2c3d4e5f ist.

Dieser Befehl erstellt eine ressourcenbasierte Richtlinie, die wie folgt aussieht:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PrincipalOrgIDExample",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-east-2:123456789012:function:example",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-a1b2c3d4e5f"
                }
            }
        }
    ]
}

Weitere Informationen finden Sie unter aws:PrincipalOrgID im IAM-Benutzer-Benutzerhandbuch.