AWS の マネージドポリシーAWS Lambda - AWS Lambda
AWSLambda_FullAccessAWSLambda_ReadOnlyAccessAWSLambdaBasicExecutionRoleAWSLambdaBasicDurableExecutionRolePolicyAWSLambdaDynamoDBExecutionRoleAWSLambdaENIManagementAccessAWSLambdaInvocation-DynamoDBAWSLambdaKinesisExecutionRoleAWSLambdaMSKExecutionRoleAWSLambdaRoleAWSLambdaSQSQueueExecutionRoleAWSLambdaVPCAccessExecutionRoleAWSLambdaManagedEC2ResourceOperatorAWSLambdaServiceRolePolicyポリシーの更新

AWS の マネージドポリシーAWS Lambda

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス権の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS 管理ポリシー: AWSLambda_FullAccess

このポリシーは Lambda アクションに対するフルアクセスを付与します。また、Lambda リソースの開発と保守に使用される他の AWS サービスへのアクセス許可も付与します。

ユーザー、グループおよびロールに AWSLambda_FullAccess ポリシーをアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • lambda – プリンシパルに Lambda への完全なアクセスを許可します。

  • cloudformation — プリンシパルが AWS CloudFormation スタックを記述し、それらのスタック内のリソースを一覧表示できるようにします。

  • cloudwatch — プリンシパルが Amazon CloudWatch メトリクスを一覧表示し、メトリクスデータを取得できるようにします。

  • ec2 — プリンシパルがセキュリティグループ、サブネット、および VPC を記述できるようにします。

  • iam — プリンシパルがポリシー、ポリシーバージョン、ロール、ロールポリシー、アタッチされたロールポリシー、およびロールのリストを取得できるようにします。また、このポリシーでは、プリンシパルが Lambda にロールを渡すことも許可されます。PassRole 許可は、関数に実行ロールを割り当てる際に使用します。CreateServiceLinkedRole アクセス許可は、サービスにリンクされたロールを作成するときに使用されます。

  • kms – プリンシパルにエイリアスの一覧表示とボリューム暗号化のキーの記述を許可します。

  • logs – プリンシパルがログストリームを記述し、ログイベントを取得し、ログイベントをフィルタリングし、ライブテールセッションを開始および停止できるようにします。

  • states — プリンシパルが AWS Step Functions 状態のマシンを記述および一覧表示できるようにします。

  • tag — プリンシパルがタグに基づいてリソースを取得できるようにします。

  • xray — プリンシパルが AWS X-Ray トレースサマリーを取得し、ID で指定されたトレースのリストを取得できるようにします。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambda_FullAccess」を参照してください。

AWS 管理ポリシー: AWSLambda_ReadOnlyAccess

このポリシーは、Lambda リソースと、Lambda リソースの開発と保守に使用される他の AWS サービスへの読み取り専用アクセスを許可します。

ユーザー、グループおよびロールに AWSLambda_ReadOnlyAccess ポリシーをアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • lambda - プリンシパルがすべてのリソースを取得して一覧表示できるようにします。

  • cloudformation — プリンシパルが AWS CloudFormation スタックを記述および一覧表示して、それらのスタック内のリソースを一覧表示できるようにします。

  • cloudwatch — プリンシパルが Amazon CloudWatch メトリクスを一覧表示し、メトリクスデータを取得できるようにします。

  • ec2 — プリンシパルがセキュリティグループ、サブネット、および VPC を記述できるようにします。

  • iam — プリンシパルがポリシー、ポリシーバージョン、ロール、ロールポリシー、アタッチされたロールポリシー、およびロールのリストを取得できるようにします。

  • kms - プリンシパルがエイリアスを一覧表示できるようにします。

  • logs – プリンシパルがログストリームを記述し、ログイベントを取得し、ログイベントをフィルタリングし、ライブテールセッションを開始および停止できるようにします。

  • states — プリンシパルが AWS Step Functions 状態のマシンを記述および一覧表示できるようにします。

  • tag — プリンシパルがタグに基づいてリソースを取得できるようにします。

  • xray — プリンシパルが AWS X-Ray トレースサマリーを取得し、ID で指定されたトレースのリストを取得できるようにします。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambda_ReadOnlyAccess」を参照してください。

AWS 管理ポリシー: AWSLambdaBasicExecutionRole

このポリシーは、ログを CloudWatch Logs にアップロードするための許可を付与します。

ユーザー、グループおよびロールに AWSLambdaBasicExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambdaBasicExecutionRole」を参照してください。

AWS マネージドポリシー: AWSLambdaBasicDurableExecutionRolePolicy

このポリシーは、CloudWatch Logs への書き込みアクセス許可と、Lambda の永続関数で使用される永続的実行 API への読み取り/書き込みアクセス許可を提供します。このポリシーは、Lambda の永続関数に必要な重要なアクセス許可を提供します。このアクセス許可は、永続的実行 API を使用して、関数の呼び出し全体で進行状況を維持し、状態を維持します。

ユーザー、グループおよびロールに AWSLambdaBasicDurableExecutionRolePolicy ポリシーをアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • logs – プリンシパルに、ロググループ、ログストリームの作成、CloudWatch Logs へのログイベントの書き込みを許可します。

  • lambda – プリンシパルが永続的実行の状態をチェックポイントし、Lambda 永続関数の永続的実行の状態を取得できるようにします。

ポリシーの詳細 (JSON ポリシードキュメントの最新バージョンを含む) を確認するには、「AWS マネージドポリシーのリファレンスガイド」の「AWSLambdaBasicDurableExecutionRolePolicy」を参照してください。

AWS 管理ポリシー: AWSLambdaDynamoDBExecutionRole

このポリシーは、Amazon DynamoDB ストリームからレコードを読み取り、CloudWatch Logs に書き込むための許可を付与します。

ユーザー、グループおよびロールに AWSLambdaDynamoDBExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambdaDynamoDBExecutionRole」を参照してください。

AWS 管理ポリシー: AWSLambdaENIManagementAccess

このポリシーは、VPC 対応の Lambda 関数で使用される Elastic Network Interface を作成、記述、削除する許可を付与します。

ユーザー、グループおよびロールに AWSLambdaENIManagementAccess ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambdaENIManagementAccess」を参照してください。

AWS 管理ポリシー: AWSLambdaInvocation-DynamoDB

このポリシーは Amazon DynamoDB Streams への読み取りアクセスを許可します。

ユーザー、グループおよびロールに AWSLambdaInvocation-DynamoDB ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambdaInvocation-DynamoDB」を参照してください。

AWS 管理ポリシー: AWSLambdaKinesisExecutionRole

このポリシーは、Amazon Kinesis データストリームからイベントを読み取り、CloudWatch Logs に書き込むための許可を付与します。

ユーザー、グループおよびロールに AWSLambdaKinesisExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambdaKinesisExecutionRole」を参照してください。

AWS 管理ポリシー: AWSLambdaMSKExecutionRole

このポリシーは、Amazon Managed Streaming for Apache Kafka クラスターからレコードを読み取り、アクセスし、Elastic Network Interface を管理し、CloudWatch Logs に書き込むための許可を付与します。

ユーザー、グループおよびロールに AWSLambdaMSKExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambdaMSKExecutionRole」を参照してください。

AWS 管理ポリシー: AWSLambdaRole

このポリシーは、Lambda 関数を呼び出す許可を付与します。

ユーザー、グループおよびロールに AWSLambdaRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambdaRole」を参照してください。

AWS 管理ポリシー: AWSLambdaSQSQueueExecutionRole

このポリシーは、Amazon Simple Queue Service キューからのメッセージの読み取りと削除の許可を付与し、CloudWatch Logs への書き込みの許可を付与します。

ユーザー、グループおよびロールに AWSLambdaSQSQueueExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambdaSQSQueueExecutionRole」を参照してください。

AWS 管理ポリシー: AWSLambdaVPCAccessExecutionRole

このポリシーは、Amazon 仮想プライベートクラウド内の Elastic Network Interface を管理して、CloudWatch Logs に書き込む許可を付与します。

ユーザー、グループおよびロールに AWSLambdaVPCAccessExecutionRole ポリシーをアタッチできます。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambdaVPCAccessExecutionRole」を参照してください。

AWS マネージドポリシー: AWSLambdaManagedEC2ResourceOperator

このポリシーは、Lambda キャパシティープロバイダーの自動 Amazon Elastic Compute Cloud インスタンス管理を有効にします。これは、ユーザーに代わってインスタンスライフサイクルオペレーションを実行するためのアクセス許可を Lambda スケーラーサービスに付与します。

ユーザー、グループおよびロールに AWSLambdaManagedEC2ResourceOperator ポリシーをアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ec2:RunInstances – ec2:ManagedResourceOperator が scaler.lambda.amazonaws.com に等しく、AMI の使用を Amazon が所有するイメージのみに制限するという条件で、Lambda が新しい Amazon EC2 インスタンスを起動できるようにします。

  • ec2:DescribeInstances および ec2:DescribeInstanceStatus – Lambda がインスタンスのステータスをモニタリングし、インスタンス情報を取得できるようにします。

  • ec2:CreateTags – Lambda が管理および識別の目的で Amazon EC2 リソースにタグを付けることを許可します。

  • ec2:DescribeAvailabilityZones – Lambda がインスタンス配置の決定に使用できるゾーンを表示できるようにします。

  • ec2:DescribeCapacityReservations – Lambda が最適なインスタンス配置のためにキャパシティ予約をチェックできるようにします。

  • ec2:DescribeInstanceTypes および ec2:DescribeInstanceTypeOfferings – Lambda が使用可能なインスタンスタイプとそのサービスを確認できるようにします。

  • ec2:DescribeSubnets – Lambda がネットワーク計画のサブネット設定を調べることを許可します。

  • ec2:DescribeSecurityGroups – Lambda がネットワークインターフェイス設定のセキュリティグループ情報を取得できるようにします。

  • ec2:CreateNetworkInterface – Lambda がネットワークインターフェイスを作成し、サブネットとセキュリティグループの関連付けを管理できるようにします。

  • ec2:AttachNetworkInterfaceec2:ManagedResourceOperatorscaler.lambda.amazonaws.com に等しい条件で、Lambda が Amazon EC2 インスタンスにネットワークインターフェイスをアタッチできるようにします。

JSON ポリシードキュメントやポリシーバージョンを含むこのポリシーの詳細については、「AWS 管理ポリシーリファレンスガイド」の「AWSLambdaManagedEC2ResourceOperator」を参照してください。

AWS マネージドポリシー: AWSLambdaServiceRolePolicy

このポリシーは、AWSServiceRoleForLambda という名前のサービスにリンクされたロールにアタッチされ、Lambda が Lambda キャパシティプロバイダーの一部として管理されるインスタンスを終了できるようにします。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ec2:TerminateInstances – ec2:ManagedResourceOperator が scaler.lambda.amazonaws.com に等しい条件で、Lambda が EC2 インスタンスを終了できるようにします。

  • ec2:DescribeInstanceStatus および ec2:DescribeInstances – Lambda が EC2 インスタンスを記述できるようにします。

このポリシーに関する詳細については、「Lambda に、サービスにリンクされたロールを使用する方法」を参照してください。

Lambda での AWS マネージドポリシーの更新

変更 説明 日付

AWSLambdaManagedEC2ResourceOperator – 新しいポリシー

Lambda は、Lambda キャパシティプロバイダーの自動 Amazon EC2 インスタンス管理を有効にする新しいマネージドポリシーを追加し、スケーラーサービスがインスタンスライフサイクルオペレーションを実行できるようにしました。

 2025 年 11 月 30 日

AWSLambdaServiceRolePolicy – 新しいポリシー

Lambda は、サービスにリンクされたロールに新しい管理ポリシーを追加し、Lambda が Lambda キャパシティプロバイダーの一部として管理されるインスタンスを終了できるようにしました。

 2025 年 11 月 30 日

AWSLambda_FullAccess – 変更

Lambda は、kms:DescribeKeyiam:CreateServiceLinkedRole アクションを許可するように AWSLambda_FullAccess ポリシーを更新しました。

 2025 年 11 月 30 日

AWSLambdaBasicDurableExecutionRolePolicy – 新しい管理ポリシー

Lambda は、CloudWatch Logs への書き込みアクセス許可と、Lambda の永続関数で使用される永続的実行 API への読み取り/書き込みアクセス許可を提供する新しいマネージドポリシー AWSLambdaBasicDurableExecutionRolePolicy をリリースしました。

 2025 年 12 月 1 日

AWSLambda_ReadOnlyAccess および AWSLambda_FullAccess – 変更

Lambda は、logs:StartLiveTaillogs:StopLiveTail アクションを許可するように AWSLambda_ReadOnlyAccessAWSLambda_FullAccess ポリシーを更新しました。

 2025 年 3 月 17 日

AWSLambdaVPCAccessExecutionRole – 変更

Lambda は、アクション ec2:DescribeSubnets を許可するように AWSLambdaVPCAccessExecutionRole ポリシーを更新しました。

 2024 年 1 月 5 日

AWSLambda_ReadOnlyAccess — 変更

Lambda は、プリンシパルが CloudFormation スタックを一覧表示できるように AWSLambda_ReadOnlyAccess ポリシーを更新しました。

 2023 年 7 月 27 日

AWS Lambda は変更の追跡を開始しました

AWS Lambda が AWS マネージドポリシーの変更の追跡を開始しました。

 2023 年 7 月 27 日