Concedere l'accesso alle funzioni a un'organizzazione - AWS Lambda

Concedere l'accesso alle funzioni a un'organizzazione

Per concedere un'autorizzazione a un'organizzazione in AWS Organizations, specifica l'ID dell'organizzazione come principal-org-id. Il seguente comando add-permission garantisce l'accesso all'invocazione a tutti gli utenti dell'organizzazione o-a1b2c3d4e5f.

aws lambda add-permission \
  --function-name example \
  --statement-id PrincipalOrgIDExample \
  --action lambda:InvokeFunction \
  --principal * \
  --principal-org-id o-a1b2c3d4e5f
Nota

In questo comando, Principal è *. Ciò significa che tutti gli utenti dell'organizzazione o-a1b2c3d4e5f ottengono le autorizzazioni di invocazione delle funzioni. Se si specifica un Account AWS o un ruolo come Principal, solo quel principale ottiene le autorizzazioni di invocazione della funzione, e solo se fa anche parte dell'organizzazione o-a1b2c3d4e5f.

Questo comando crea una policy basata sulle risorse simile alla seguente:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PrincipalOrgIDExample",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-east-2:123456789012:function:example",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-a1b2c3d4e5f"
                }
            }
        }
    ]
}

Per ulteriori informazioni, consulta aws:PrincipalOrgID nella Guida per l'utente di IAM.