本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授予使用者對 Lambda 層的存取權
使用身分型政策以允許使用者、使用者群組或角色對 Lambda 層執行操作。下列政策授予使用者建立 layer 以及搭配函數使用的許可。資源模式允許使用者使用任何 AWS 區域 和任何 layer 版本,只要 layer 的名稱以 開頭test-
即可。
範例 圖層開發政策
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PublishLayers",
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion"
],
"Resource": "arn:aws:lambda:*:*:layer:test-*"
},
{
"Sid": "ManageLayerVersions",
"Effect": "Allow",
"Action": [
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion"
],
"Resource": "arn:aws:lambda:*:*:layer:test-*:*"
}
]
}
您也可以使用 lambda:Layer
條件來在函數建立和設定期間強制執行 layer 的使用。例如,您可以防止使用者使用其他帳戶發佈的 layer。下列政策會將條件新增至 CreateFunction
,且 UpdateFunctionConfiguration
動作需要來自帳戶 123456789012
指定的任何 layer。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ConfigureFunctions",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:UpdateFunctionConfiguration"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"lambda:Layer": [
"arn:aws:lambda:*:123456789012
:layer:*:*"
]
}
}
}
]
}
若要確保條件是否套用,請確認沒有其他陳述式授予使用者這些動作的許可。