Как предоставить полный доступ только к одной лямбда-функции

Question

Я создал пользователя IAM в своей учетной записи AWS, чтобы кто-то помог мне в проекте.

Как предоставить этому пользователю полный доступ к одной указанной лямбда-функции?

Под полным доступом я имею в виду, что он обладает теми же правами, что и я (учетная запись root), в отношении этой одной функции, и не выполняет никаких других действий, таких как создание новых функций или просмотр других функций.

Answer 1

Во-первых, будьте осторожны, что вы подразумеваете под "полным доступом".Это может включать в себя возможность удалить функцию , что, вероятно, не является тем, что вы хотели бы разрешить.

Взгляните на: Действия, ресурсы и ключи условий дляAWS Lambda - Управление идентификацией и доступом AWS

В нем перечислены все действия, связанные с Lambda.Вы заметите, что для многих записей в столбце Типы ресурсов указан function.Это означает, что вы можете ограничить предоставляемое разрешение только указанными функциями.Таким образом, вы, вероятно, захотите ограничить разрешение только теми действиями, которые могут быть ограничены функцией .

Результатом будет политика, подобная следующей:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeAsync",
                "lambda:InvokeFunction",
                "lambda:UpdateFunctionCode",
                "lambda:UpdateFunctionConfiguration"
            ],
            "Resource": "arn:aws:lambda:ap-southeast-2:123456789012:function:my-function"
        }
    ]
}