Configuration des autorisations de rôle d’exécution Lambda - AWS Lambda
Autorisations de fonction Lambda requisesAutorisations de fonction Lambda facultativesAjout d’autorisationsAjout d’utilisateurs à une stratégie IAM

Configuration des autorisations de rôle d’exécution Lambda

En plus d’accéder au cluster Amazon Kafka autogéré, votre fonction Lambda a besoin d’autorisations pour effectuer diverses actions d’API. Ajoutez ces autorisations au rôle d’exécution de votre fonction. Si vos utilisateurs ont besoin d’accéder à l’une des actions de l’API, ajoutez les autorisations requises à la stratégie d’identité de l’utilisateur ou du rôle AWS Identity and Access Management (IAM) correspondant.

Autorisations de fonction Lambda requises

Pour pouvoir créer et stocker des journaux dans un groupe de journaux dans Amazon CloudWatch Logs, votre fonction Lambda doit disposer des autorisations suivantes dans son rôle d’exécution :

Autorisations de fonction Lambda facultatives

Votre fonction Lambda peut également nécessiter ces autorisations pour :

  • Décrivez votre secret Secrets Manager.

  • Accédez à votre clé gérée par le client AWS Key Management Service (AWS KMS).

  • Accédez à votre Amazon VPC.

  • Envoyez les enregistrements des invocations ayant échoué vers une destination.

Secrets Manager et autorisations AWS KMS

Selon le type de contrôle d’accès que vous configurez pour vos courtiers Kafka, votre fonction Lambda peut avoir besoin d’une autorisation pour accéder à votre secret Secrets Manager ou pour déchiffrer votre clé gérée par le client AWS KMS. Afin d’accéder à ces ressources, le rôle d’exécution de votre fonction doit disposer des autorisations suivantes :

Autorisations VPC

Si seuls des utilisateurs au sein d’un VPC peuvent accéder à votre cluster Apache Kafka autogéré, votre fonction Lambda doit être autorisée à accéder à vos ressources Amazon VPC. Ces ressources incluent les sous-réseaux, groupes de sécurité et interfaces réseau de votre VPC. Afin d’accéder à ces ressources, le rôle d’exécution de votre fonction doit disposer des autorisations suivantes :

Ajout d’autorisations à votre rôle d’exécution

Afin d’accéder à d’autres services AWS que votre cluster Apache Kafka autogéré utilise, Lambda utilise les stratégies d’autorisation que vous définissez dans le rôle d’exécution de votre fonction Lambda.

Par défaut, Lambda n’est pas autorisé à exécuter les actions obligatoires ou facultatives pour un cluster Apache Kafka autogéré. Vous devez créer et définir ces actions dans une stratégie d’approbation IAM pour votre rôle d’exécution. Cet exemple montre comment créer une stratégie autorisant Lambda à accéder à vos ressources Amazon VPC.

JSON
{
        "Version":"2012-10-17",		 	 	 
        "Statement":[
           {
              "Effect":"Allow",
              "Action":[
                 "ec2:CreateNetworkInterface",
                 "ec2:DescribeNetworkInterfaces",
                 "ec2:DescribeVpcs",
                 "ec2:DeleteNetworkInterface",
                 "ec2:DescribeSubnets",
                 "ec2:DescribeSecurityGroups"
              ],
              "Resource":"*"
           }
        ]
     }

Octroi d’accès à des utilisateurs avec une politique IAM

Par défaut, les utilisateurs et les rôles n’ont pas l’autorisation d’effectuer des opérations d’API de source d’événement. Pour accorder l’accès aux utilisateurs de votre organisation ou de votre compte, vous pouvez ajouter ou mettre à jour une stratégie basée sur l’identité. Pour plus d’informations, consultez Contrôle de l’accès aux ressources AWS à l’aide de stratégies dans le Guide de l’utilisateur IAM.

Pour résoudre les erreurs d’authentification et d’autorisation, consultez Résolution des erreurs de mappage des sources d’événements Kafka.