投稿日: Mar 11, 2022
AWS Lambda が、Lambda 関数のリソースベースのポリシーで aws:PrincipalOrgID 条件キーをサポートするようになりました。お客様は、特定のバージョンやエイリアスを含む Lambda 関数のリソースベースのポリシーを使用して、他の AWS アカウントまたは AWS のサービスの使用許可を付与できるようになります。aws:PrincipalOrgID 条件キーは、IAM プリンシパルの AWS 組織を使用して AWS リソースへのアクセスをコントロールするように設計されています。関数リソースベースのポリシーでこの条件キーを使用することで、Lambda 関数にアクセスするすべてのプリンシパルが組織内のアカウントからであることを要求できるようになりました。さらに、アカウントを追加および削除する場合、aws:PrincipalOrgID キーを含むポリシーには、正しいアカウントが自動的に含まれ、手動更新を最小限に抑えるのに役立ちます。
aws:PrincipalOrgID キーは、組織内のすべての AWS アカウントのすべてのアカウント ID を一覧表示するための代替手段となります。以前は、Lambda 関数へのアクセスを組織内の AWS アカウントのプリンシパルのみに制限するには、それぞれの AWS アカウント ID をリソースベースのポリシーに個別に追加する必要がありました。これで、Lambda のリソースベースのポリシーの条件要素で organization ID を指定できるようになります。
また、特定のバージョンやエイリアスを含む Lambda 関数の許可を追加するときに組織 ID を渡すことで、AWS コンソール、CLI、または AWS CloudFormation を介してこの機能の使用を開始できます。Lambda は、リクエストで提供された組織 ID として値を使用することで、条件キー aws:PrincipalOrgID を使用してリソースベースのポリシーを生成するのに役立ちます。
この機能は、Lambda が提供されているすべてのリージョン (AWS 中国リージョンを除く) で利用可能です。この機能の詳細については、Lambda デベロッパーガイドを参照するか、AWS Lambda コンソールにログインして使用を開始してください。