Como conceder acesso de função a uma organização - AWS Lambda

Como conceder acesso de função a uma organização

Para conceder permissões a uma organização no AWS Organizations, especifique o ID da organização como o principal-org-id. O comando add-permission a seguir concede acesso de invocação a todos os usuários da organização o-a1b2c3d4e5f.

aws lambda add-permission \
  --function-name example \
  --statement-id PrincipalOrgIDExample \
  --action lambda:InvokeFunction \
  --principal * \
  --principal-org-id o-a1b2c3d4e5f
nota

Nesse comando, Principal é *. Isso significa que todos os usuários na organização o-a1b2c3d4e5f recebem permissões de invocação de função. Se você especificar uma Conta da AWS ou um perfil como Principal, somente essa entidade principal receberá permissões de invocação da função, mas apenas se ela também fizer parte organização o-a1b2c3d4e5f.

Esse comando cria uma política baseada em recursos semelhante ao exemplo a seguir:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PrincipalOrgIDExample",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-east-2:123456789012:function:example",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-a1b2c3d4e5f"
                }
            }
        }
    ]
}

Para obter mais informações, consulte aws:PrincipalOrgID no Guia do usuário do IAM.