関数へのアクセス権を組織に付与する - AWS Lambda

関数へのアクセス権を組織に付与する

AWS Organizations の組織にアクセス許可を付与するには、組織 ID を principal-org-id として指定します。次の add-permission コマンドは、組織 o-a1b2c3d4e5f 内のすべてのユーザーに呼び出しアクセス権を付与します。

aws lambda add-permission \
  --function-name example \
  --statement-id PrincipalOrgIDExample \
  --action lambda:InvokeFunction \
  --principal * \
  --principal-org-id o-a1b2c3d4e5f
注記

このコマンドでは、Principal* です。これにより、組織 o-a1b2c3d4e5f 内のすべてのユーザーが関数呼び出しアクセス許可を取得します。AWS アカウント またはロールを Principal として指定した場合、そのプリンシパルだけが関数呼び出しアクセス許可を取得します。ただし、それらが o-a1b2c3d4e5f 組織の一部である場合に限ります。

このコマンドで、次のようなリソースベースのポリシーが作成されます。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PrincipalOrgIDExample",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-east-2:123456789012:function:example",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-a1b2c3d4e5f"
                }
            }
        }
    ]
}

詳細については、「IAM ユーザーガイド」の「aws:PrincipalOrgID」を参照してください。