Veröffentlicht am: Mar 11, 2022
AWS Lambda unterstützt jetzt den Bedingungsschlüssel aws:PrincipalOrgID in ressourcenbasierten Richtlinien für Lambda-Funktionen. Kunden können ressourcenbasierte Richtlinien für Lambda-Funktionen mit bestimmter Version oder Alias einsetzen, um Nutzungsberechtigungen für andere AWS-Konten oder AWS-Services zu erteilen. Der Bedingungsschlüssel aws:PrincipalOrgID ist auf die Kontrolle des Zugriffs auf AWS-Ressourcen durch Verwendung der AWS-Organisation von IAM-Prinzipalen ausgelegt. Dieser Bedingungsschlüssel kann in den ressourcenbasierten Funktionsrichtlinien jetzt so eingesetzt werden, dass alle auf Lambda-Funktionen zugreifenden Prinzipale einem Konto in der Organisation angehören müssen. Wenn Konten hinzugefügt oder entfernt werden, sollten die Richtlinien, die den Schlüssel aws:PrincipalOrgID enthalten, außerdem automatisch die richtigen Konten aufnehmen und damit die manuelle Aktualisierung auf ein Minimum reduzieren.
Der Schlüssel aws:PrincipalOrgID stellt eine Alternative zum Auflisten aller Konto-IDs für alle AWS-Konten in einer Organisation dar. Um den Zugriff auf Lambda-Funktionen ausschließlich auf Prinzipale aus AWS-Konten innerhalb Ihrer Organisation zu beschränken, musste bisher jede AWS-Konto-ID einzeln in die ressourcenbasierte Richtlinie aufgenommen werden. Jetzt kann die Organisations-ID im Bedingungselement der ressourcenbasierten Richtlinie für Lambda angegeben werden.
Sie können mit der Nutzung dieser Funktion über die AWS-Konsole, CLI oder AWS CloudFormation beginnen, indem Sie Ihre Organisations-ID beim Hinzufügen von Berechtigungen für eine Lambda-Funktion mit bestimmter Version oder Alias bekanntgeben. Lambda wird Ihnen dann beim Erstellen der ressourcenbasierten Richtlinie mit dem Bedingungsschlüssel aws:PrincipalOrgID anhand des in der Anfrage angegebenen Wertes für Ihre Organisations-ID helfen.
Diese Funktion ist in allen Regionen verfügbar, in denen Lambda verfügbar ist, mit Ausnahme der AWS-Regionen in China. Sie können weitere Informationen zu dieser Funktion im Lambda-Entwicklerhandbuch nachlesen oder sich bei der AWS Lambda-Konsole anmelden und beginnen.