授予使用者對 Lambda 層的存取權 - AWS Lambda

授予使用者對 Lambda 層的存取權

使用身分型政策以允許使用者、使用者群組或角色對 Lambda 層執行操作。下列政策授予使用者建立 layer 以及搭配函數使用的許可。資源模式可讓使用者在任何 AWS 區域中使用任何層版本,只要 Layer 名稱的開頭為 test-

範例 圖層開發政策
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PublishLayers",
            "Effect": "Allow",
            "Action": [
                "lambda:PublishLayerVersion"
            ],
            "Resource": "arn:aws:lambda:*:*:layer:test-*"
        },
        {
            "Sid": "ManageLayerVersions",
            "Effect": "Allow",
            "Action": [
                "lambda:GetLayerVersion",
                "lambda:DeleteLayerVersion"
            ],
            "Resource": "arn:aws:lambda:*:*:layer:test-*:*"
        }
    ]
}

您也可以使用 lambda:Layer 條件來在函數建立和設定期間強制執行 layer 的使用。例如,您可以防止使用者使用其他帳戶發佈的 layer。下列政策會將條件新增至 CreateFunction,且 UpdateFunctionConfiguration 動作需要來自帳戶 123456789012 指定的任何 layer。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfigureFunctions",
            "Effect": "Allow",
            "Action": [
                "lambda:CreateFunction",
                "lambda:UpdateFunctionConfiguration"
            ],
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringLike": {
                    "lambda:Layer": [
                        "arn:aws:lambda:*:123456789012:layer:*:*"
                    ]
                }
            }
        }
    ]
}

若要確保條件是否套用,請確認沒有其他陳述式授予使用者這些動作的許可。