发布于: Mar 11, 2022
AWS Lambda 现在支持基于 Lambda 函数资源的策略当中的 aws:PrincipalOrgID 条件键。客户可以将基于资源的策略用于包括特定版本或别名在内的 Lambda 函数,以便授予使用其他 AWS 账户或 AWS 服务的权限。aws:PrincipalOrgID 条件键被设计通过使用 IAM 主题的 AWS Organization 来控制对 AWS 资源的访问。您现在可以在基于函数资源的策略当中使用此条件键,以要求访问 Lambda 函数的所有主体应来自 Organization 的某个账户。此外,当您添加和移除账户时,包含 aws:PrincipalOrgID 键的策略应自动包括正确的账户并帮助最大限度减少手动更新。
aws:PrincipalOrgID 键为在某个 Organization 当中列出所有 AWS 账户的全部账户 ID 提供一种替代方式。在过去,为限制只有来自您的 Organization 的 AWS 账户的主体可以访问 Lambda 函数,用户必须逐个添加 AWS 账户 ID 到基于资源的策略。现在,您可以在基于 Lambda 资源的策略的条件元素当中指定 Organization ID。
您可以在为 Lambda 函数添加权限(包括特定版本或别名)时传递您的 Organization ID,通过 AWS 控制台、CLI 或 AWS CloudFormation 开始使用此项功能。Lambda 将帮助以条件键 aws:PrincipalOrgID 生成基于资源的策略,而该条件键使用值作为请求中提供的您的 Organization ID。
这项功能已在所有提供 Lambda 的区域(除 AWS 中国区域外)推出。要了解关于这项功能的更多信息,请参阅 Lambda 开发人员指南或登录至 AWS Lambda 控制台以开始使用。