AWS Políticas gerenciadas pela do AWS Lambda - AWS Lambda
AWSLambda_FullAccessAWSLambda_ReadOnlyAccessAWSLambdaBasicExecutionRoleAWSLambdaBasicDurableExecutionRolePolicyAWSLambdaDynamoDBExecutionRoleAWSLambdaENIManagementAccessAWSLambdaInvocation-DynamoDBAWSLambdaKinesisExecutionRoleAWSLambdaMSKExecutionRoleAWSLambdaRoleAWSLambdaSQSQueueExecutionRoleAWSLambdaVPCAccessExecutionRoleAWSLambdaManagedEC2ResourceOperatorAWSLambdaServiceRolePolicyAtualizações da política

AWS Políticas gerenciadas pela do AWS Lambda

Uma política gerenciada pela AWS é uma política autônoma criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns e permitir a atribuição de permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Não é possível alterar as permissões definidas em políticas gerenciadas pela AWS. Se a AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que a AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Política gerenciada pela AWS: AWSLambda_FullAccess

Esta política concede acesso total às ações do Lambda. Também concede permissões a outros serviços da AWS usados para desenvolver e manter recursos do Lambda.

É possível associar a política AWSLambda_FullAccess aos seus usuários, grupos e perfis.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • lambda: concede às entidades principais acesso total ao Lambda.

  • cloudformation: permite que as entidades principais descrevam as pilhas do AWS CloudFormation e listem os recursos nessas pilhas.

  • cloudwatch: permite que as entidades principais listem métricas do Amazon CloudWatch e obtenham dados de métricas.

  • ec2: permite que as entidades principais descrevam grupos de segurança, sub-redes e VPCs.

  • iam: permite que as entidades principais obtenham políticas, versões de políticas, funções, políticas de funções, políticas de funções anexadas e a lista de funções. Essa política também permite que as entidades principais passem perfis para o Lambda. A permissão PassRole é usada quando você atribui uma função de execução a uma função. A permissão CreateServiceLinkedRole é usada ao criar um perfil vinculado ao serviço.

  • kms: permite que as entidades principais listem aliases e descrevam chaves para a criptografia de volumes.

  • logs: permite que os as entidades principais descrevam fluxos de log, obtenham eventos de log, filtrem eventos de log e iniciem e interrompam sessões do Live Tail.

  • states: permite que as entidades principais descrevam e listem máquinas de estado do AWS Step Functions.

  • tag: permite que as entidades principais obtenham recursos com base em suas tags.

  • xray: permite que as entidades principais obtenham resumos de rastreamento de AWS X-Ray e recuperem uma lista de rastreamentos especificados por ID.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambda_FullAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambda_ReadOnlyAccess

Essa política concede acesso somente para leitura aos recursos do Lambda e a outros serviços da AWS usados para desenvolver e manter recursos do Lambda.

É possível associar a política AWSLambda_ReadOnlyAccess aos seus usuários, grupos e perfis.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • lambda: permite que as entidades principais obtenham e listem todos os recursos.

  • cloudformation: permite que as entidades principais descrevam e listem pilhas do AWS CloudFormation e listem os recursos nessas pilhas.

  • cloudwatch: permite que as entidades principais listem métricas do Amazon CloudWatch e obtenham dados de métricas.

  • ec2: permite que as entidades principais descrevam grupos de segurança, sub-redes e VPCs.

  • iam: permite que as entidades principais obtenham políticas, versões de políticas, funções, políticas de funções, políticas de funções anexadas e a lista de funções.

  • kms: permite que as entidades principais listem aliases.

  • logs: permite que os as entidades principais descrevam fluxos de log, obtenham eventos de log, filtrem eventos de log e iniciem e interrompam sessões do Live Tail.

  • states: permite que as entidades principais descrevam e listem máquinas de estado do AWS Step Functions.

  • tag: permite que as entidades principais obtenham recursos com base em suas tags.

  • xray: permite que as entidades principais obtenham resumos de rastreamento de AWS X-Ray e recuperem uma lista de rastreamentos especificados por ID.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambda_ReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambdaBasicExecutionRole

Esta política concede permissões para fazer o upload de logs para o CloudWatch Logs.

É possível associar a política AWSLambdaBasicExecutionRole aos seus usuários, grupos e perfis.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambdaBasicExecutionRole no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambdaBasicDurableExecutionRolePolicy

Essa política fornece permissões de gravação para o CloudWatch Logs e permissões de leitura/gravação para APIs de execução durável usadas pelas funções duráveis do Lambda. Essa política fornece as permissões essenciais necessárias para as funções duráveis do Lambda, que usam APIs de execução duráveis para persistir o progresso e manter o estado em todas as invocações de funções.

É possível associar a política AWSLambdaBasicDurableExecutionRolePolicy aos seus usuários, grupos e perfis.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • logs: permite que as entidades principais criem grupos de logs e fluxos de logs e gravem eventos de log no CloudWatch Logs.

  • lambda: permite que as entidades principais verifiquem o estado de execução durável e recuperem o estado de execução durável das funções duráveis do Lambda.

Para visualizar mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte AWSLambdaBasicDurableExecutionRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada pela AWS: AWSLambdaDynamoDBExecutionRole

Esta política concede permissões para ler registros de um fluxo do Amazon DynamoDB e gravar no CloudWatch Logs.

É possível associar a política AWSLambdaDynamoDBExecutionRole aos seus usuários, grupos e perfis.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambdaDynamoDBExecutionRole no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambdaENIManagementAccess

Essa política concede permissões para criar, descrever e excluir interfaces de rede elásticas usadas por uma função do Lambda habilitada para VPC.

É possível associar a política AWSLambdaENIManagementAccess aos seus usuários, grupos e perfis.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambdaENIManagementAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambdaInvocation-DynamoDB

Essa política concede acesso de leitura ao Amazon DynamoDB Streams.

É possível associar a política AWSLambdaInvocation-DynamoDB aos seus usuários, grupos e perfis.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambdaInvocation-DynamoDB no AWS Managed Policy Reference Guide.

Política gerenciada pela AWS: AWSLambdaKinesisExecutionRole

Esta política concede permissões para ler eventos de um fluxo de dados do Amazon Kinesis e gravar no CloudWatch Logs.

É possível associar a política AWSLambdaKinesisExecutionRole aos seus usuários, grupos e perfis.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambdaKinesisExecutionRole no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambdaMSKExecutionRole

Esta política concede permissões para ler e acessar registros de um cluster do Amazon Managed Streaming for Apache Kafka, para gerenciar interfaces de rede elástica e para gravar no CloudWatch Logs.

É possível associar a política AWSLambdaMSKExecutionRole aos seus usuários, grupos e perfis.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambdaMSKExecutionRole no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambdaRole

Esta política concede permissões para invocar as funções do Lambda.

É possível associar a política AWSLambdaRole aos seus usuários, grupos e perfis.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambdaRole no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambdaSQSQueueExecutionRole

Essa política concede permissões para ler e excluir mensagens de uma fila do Amazon Simple Queue Service e para gravar no CloudWatch Logs.

É possível associar a política AWSLambdaSQSQueueExecutionRole aos seus usuários, grupos e perfis.

Para obter mais informações sobre essa política, incluindo  o documento e as versões da política JSON, consulte AWSLambdaSQSQueueExecutionRole no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambdaVPCAccessExecutionRole

Essa política concede permissões para gerenciar interfaces de rede elástica em uma Amazon Virtual Private Cloud e gravar no CloudWatch Logs.

É possível associar a política AWSLambdaVPCAccessExecutionRole aos seus usuários, grupos e perfis.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambdaVPCAccessExecutionRole no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambdaManagedEC2ResourceOperator

Essa política permite o gerenciamento automatizado de instâncias do Amazon Elastic Compute Cloud para provedores de capacidade do Lambda. Ele concede permissões ao serviço de escalonamento do Lambda para realizar operações de ciclo de vida da instância em seu nome.

É possível associar a política AWSLambdaManagedEC2ResourceOperator aos seus usuários, grupos e perfis.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • ec2:RunInstances: permite que o Lambda execute novas instâncias do Amazon EC2 com a condição de que ec2:ManagedResourceOperator seja igual a scaler.lambda.amazonaws.com e restrinja o uso da AMI somente às imagens de propriedade da Amazon.

  • ec2:DescribeInstances e ec2:DescribeInstanceStatus: permite que o Lambda monitore o status da instância e recupere as informações da instância.

  • ec2:CreateTags: permite que o Lambda aplique tags em recursos do Amazon EC2 para fins de gerenciamento e identificação.

  • ec2:DescribeAvailabilityZones: permite que o Lambda visualize as zonas disponíveis, por exemplo, decisões de posicionamento.

  • ec2:DescribeCapacityReservations: permite que o Lambda verifique as reservas de capacidade para o posicionamento ideal da instância.

  • ec2:DescribeInstanceTypes e ec2:DescribeInstanceTypeOfferings: permite que o Lambda revise os tipos de instância disponíveis e suas ofertas.

  • ec2:DescribeSubnets: permite que o Lambda examine as configurações de sub-rede para planejamento de rede.

  • ec2:DescribeSecurityGroups: permite que o Lambda recupere informações do grupo de segurança para configuração da interface de rede.

  • ec2:CreateNetworkInterface: permite que o Lambda crie interfaces de rede e gerencie associações de sub-redes e grupos de segurança.

  • ec2:AttachNetworkInterface: permite que o Lambda conecte interfaces de rede às instâncias do Amazon EC2 com a condição que ec2:ManagedResourceOperator seja igual a scaler.lambda.amazonaws.com.

Para obter mais informações sobre essa política, incluindo o documento e as versões da política JSON, consulte AWSLambdaManagedEC2ResourceOperator no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada pela AWS: AWSLambdaServiceRolePolicy

Esta política é anexada ao perfil vinculado ao serviço chamado AWSServiceRoleForLambda para permitir que o Lambda encerre instâncias gerenciadas como parte dos provedores de capacidade do Lambda.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • ec2:TerminateInstances: permite que o Lambda encerre instâncias do EC2 com a condição de que ec2:ManagedResourceOperator seja igual a scaler.lambda.amazonaws.com.

  • ec2:DescribeInstanceStatus e ec2:DescribeInstances: permite que o Lambda descreva instâncias do EC2.

Para obter mais informações sobre essa política, consulte Uso de perfis vinculados ao serviço para o Lambda.

Atualizações do Lambda para políticas gerenciadas pela AWS

Alteração Descrição Data

AWSLambdaManagedEC2ResourceOperator: nova política

O Lambda adicionou uma nova política gerenciada para permitir o gerenciamento automatizado de instâncias do Amazon EC2 para provedores de capacidade do Lambda, permitindo que o serviço escalador realize operações de ciclo de vida da instância.

 30 de novembro de 2025

AWSLambdaServiceRolePolicy: nova política

O Lambda adicionou uma nova política gerenciada para o perfil vinculado ao serviço para permitir que o Lambda encerre instâncias gerenciadas como parte dos provedores de capacidade do Lambda.

 30 de novembro de 2025

AWSLambda_FullAccess: alterar

O Lambda atualizou a política AWSLambda_FullAccess para permitir as ações kms:DescribeKey e iam:CreateServiceLinkedRole.

 30 de novembro de 2025

AWSLambdaBasicDurableExecutionRolePolicy: nova política gerenciada

O Lambda lançou uma nova política gerenciada AWSLambdaBasicDurableExecutionRolePolicy que fornece permissões de gravação no CloudWatch Logs e permissões de leitura/gravação para APIs de execução durável usadas pelas funções duráveis do Lambda.

 1 de dezembro de 2025

AWSLambda_ReadOnlyAccess e AWSLambda_FullAccess – Alteração

O Lambda atualizou as políticas AWSLambda_ReadOnlyAccess e AWSLambda_FullAccess para permitir as ações logs:StartLiveTail e logs:StopLiveTail.

 17 de março de 2025

AWSLambdaVPCAccessExecutionRole: alteração

O Lambda atualizou a política AWSLambdaVPCAccessExecutionRole para permitir a ação ec2:DescribeSubnets.

 5 de janeiro de 2024

AWSLambda_ReadOnlyAccess: mudança

O Lambda atualizou a política AWSLambda_ReadOnlyAccess para permitir que as entidades principais listem as pilhas do CloudFormation.

 27 de julho de 2023

AWS LambdaO iniciou o rastreamento das alterações

O AWS Lambda começou a monitorar as alterações para as políticas gerenciadas pela AWS.

 27 de julho de 2023