授予組織對函數的存取 - AWS Lambda

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予組織對函數的存取

若要授予許可給在 AWS Organizations 中的組織,指定組織 ID 為 principal-org-id。下列 add-permission 命令將調用存取權授予組織 o-a1b2c3d4e5f 中的所有使用者。

aws lambda add-permission \
  --function-name example \
  --statement-id PrincipalOrgIDExample \
  --action lambda:InvokeFunction \
  --principal * \
  --principal-org-id o-a1b2c3d4e5f
注意

在此命令中,Principal*。這意味著組織 o-a1b2c3d4e5f 中的所有使用者都會取得函數叫用許可。如果您將 AWS 帳戶 或 角色指定為 Principal,則只有該委託人才能取得函數叫用許可,但前提是他們也是o-a1b2c3d4e5f組織的一部分。

此命令建立類似以下的資源型政策:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PrincipalOrgIDExample",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-east-2:123456789012:function:example",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-a1b2c3d4e5f"
                }
            }
        }
    ]
}

如需詳細資訊,請參閱《IAM 使用者指南》中的 aws:PrincipalOrgID