Lambda 関数に綿密なアクセス権を設定する方法
最終更新日: 2019 年 12 月 6 日
Amazon リソースネーム (ARN) で識別される特定の AWS Lambda 関数に読み取りおよび書き込みアクセス権を付与する必要があります。Lambda 関数にきめの細かいアクセスをする方法
簡単な説明
AWS Identity and Access Management (IAM) を使用して、Lambda 関数に対する権限を設定できます。
- Lambda 関数の作成
- Lambda 関数の削除
- Lambda 関数の設定詳細の表示
- Lambda 関数の変更
- Lambda 関数の呼び出し
- Lambda 関数のモニタリング
次のポリシー例では、リソースレベルの権限をサポートする Lambda API アクションは各ステートメントのResource要素にリストされている特定の Lambda 関数に制限されます。特定の関数名がこれらの要素をサポートする API アクションの Condition 要素で使用されます。
リソースレベルのアクセス許可をサポートしていない API アクションの場合、 Resource 要素内でワイルドカード (*) が必要で、いずれかの Lambda サービス固有の条件キーを適用できません。Lambda でサポートされている IAM アクション、リソース、条件の詳細については、「AWS Lambda のアクション、リソース、および条件キー」を参照してください。
ステートメントの Resource 要素の値は、ステートメントを適用するリソースを識別するために、ARN を使用します。たとえば、 アクション が Invoke の場合、Resource は関数 ARN です。IAM が FunctionName により識別される関数の ARN と Invoke リクエストの Qualifier パラメータに対してこの ARN と一致します。詳細については、 バージョニング、エイリアス、リソースポリシーを参照してください。
注意 : 複数のバージョンとエイリアスを使用する 場合、リソース要素に 「arn:aws:lambda:region:AccountID:function:function_name:*」を含める必要がある場合があります。
解決方法
Lambda 関数を作成するために必要なアクセス権限
lambda:CreateFunction および iam:PassRole アクセス権限の両方が、 AWS コマンドラインインターフェイス (AWS CLI) または SDK を使用して、Lambda 関数を作成するために必要です。たとえば、「AWS Lambda 用のアイデンティティベースの IAM ポリシーの使用」を参照してください。以下のポリシーでは、API 発信者が Lambda 関数を作成し、IAM ロールを関数の Lambda 実行ロールとして渡し、ローカルマシンからコードをアップロードすることを許可します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionToCreateFunction",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction"
],
"Resource": [
"arn:aws:lambda:region:AccountID:function:function_name"
]
},
{
"Sid": "PermissionToPassARole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::AccountID:role/role_name"
}
]
}注: 関連するリージョン、アカウント ID、関数名、ARN などを含むポリシーをアップデートします。
Amazon Simple Storage Service (Amazon S3) バケットからコードをアップロードする場合、いかに類似するポリシーを既存の IAM ポリシーに追加して、Amazon S3 に必要なアクセス権限を付与します。
...
{
"Sid": "PermissionToUploadCodeFromS3",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::S3BucketName/FileName.zip"
}
...注 : ポリシーを更新し、関連する S3 バケット名およびファイル名を含めます。
関数が Lambda コンソールで作成されるときにコードを提供できないため、読み取りレベルの API アクションや関数の表示と更新の権限などの API 権限が必要です。次のようなポリシーを追加して、これらのアクセス権限を付与します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionsToViewFunctionsInConsole",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetAccountSettings"
],
"Resource": "*"
},
{
"Sid": "PermissionsToCreateAndUpdateFunction",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:region:AccountID:function:function_name"
]
},
{
"Sid": "PermissionToListExistingRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "PermissionToPassARole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::AccountID:role/role_name"
}
]
}注: 関連するリージョン、アカウント ID、関数名、ARN などを含むポリシーをアップデートします。
Lambda 関数作成プロセス中に IAM ロールを作成するには、以下のような追加の IAM アクセス権限を追加します。
...
{
"Sid": "PermmissionsToCreateAndUpdateARole",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
}
...Lambda 関数を削除するために必要な権限
AWS CLI や SDK を使用して、Lambda 関数を削除するには、次のような権限を追加します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionToDeleteFunction",
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction"
],
"Resource": [
"arn:aws:lambda:region:AccountID:function:function_name"
]
}
]
}注: 関連するリージョン、アカウント ID、関数名、ARN などを含むポリシーをアップデートします。
Lambda コンソールを使用して Lambda 関数を削除するには、次のような Lambda 読み取り権限を追加します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionsToViewFunctionsInConsole",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetAccountSettings"
],
"Resource": "*"
},
{
"Sid": "PermissionToDeleteFunction",
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction"
],
"Resource": [
"arn:aws:lambda:region:AccountID:function:function_name"
]
}
]
}注: 関連するリージョン、アカウント ID、関数名、ARN などを含むポリシーをアップデートします。
Lambda 関数の設定の詳細を表示するために必要な必要な権限
ユーザーに Lambda 関数の設定の詳細を表示するための権限を付与するためには、次のような権限を追加します。
注 : 付与する読み取りのレベルに応じて、AWS CLI または SDK を使用するときに、以下の権限のすべてまたはサブセットを付与することが必要になる場合があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ActionsWhichSupportResourceLevelPermissions",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration",
"lambda:GetPolicy",
"lambda:GetAlias",
"lambda:ListVersionsByFunction",
"lambda:ListAliases"
],
"Resource": [
"arn:aws:lambda:region:AccountID:function:function_name"
]
},
{
"Sid": "ActionsWhichDoNotSupportResourceLevelPermissions",
"Effect": "Allow",
"Action": [
"lambda:ListTags",
"lambda:GetEventSourceMapping",
"lambda:ListEventSourceMappings"
],
"Resource": "*"
}
]
}注: 関連するリージョン、アカウント ID、関数名、ARN などを含むポリシーをアップデートします。
Lambda コンソールで関数の設定の詳細を表示するには、次のような権限を追加します。
...
{
"Sid": "PermissionsToViewFunctionsInConsole",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetAccountSettings"
],
"Resource": "*"
}
...Lambda コンソールは AWS Tagging Service を使用し、ユーザーは Lambda 関数をタグでフィルタリングできます。AWS Tagging Service を使用するには、次のようなアクセス許可を追加します。
...
{
"Sid": "PermissionsToFilterFunctionsByTags",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
}
...Lambda コンソールに、Lambda 関数に関連付けられた IAM ロールの詳細と関数の IAM ロールがアクセスできるリソースに関する詳細が表示されます。これらの詳細を表示するには、次のような権限を追加します。
...
{
"Sid": "PermissionsToViewRolesAndPolicies",
"Effect": "Allow",
"Action": [
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRolePolicy",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:ListAttachedRolePolicies"
],
"Resource": "*"
}
...注 : Lambda 関数に統合された要件とサービスに応じて、ほかの AWS のサービスに対して追加の権限を付与することが必要になる場合があります。詳細については、AWS Lambda のアクセス許可を参照してください。
Lambda 関数を変更するために必要なアクセス権限
Lambda 関数を変更する権限をユーザーに付与するには、次のようなアクセス権限を追加します。
注 : 付与する必要がある書き込みのレベルに応じて、AWS CLI または SDK を使用して次の権限のすべてまたはサブセットを付与することが必要な場合があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ActionsWhichSupportResourceLevelPermissions",
"Effect": "Allow",
"Action": [
"lambda:AddPermission",
"lambda:RemovePermission",
"lambda:CreateAlias",
"lambda:UpdateAlias",
"lambda:DeleteAlias",
"lambda:UpdateFunctionCode",
"lambda:UpdateFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:DeleteFunctionConcurrency",
"lambda:PublishVersion"
],
"Resource": "arn:aws:lambda:region:AccountID:function:function_name"
},
{
"Sid": "ActionsWhichSupportCondition",
"Effect": "Allow",
"Action": [
"lambda:CreateEventSourceMapping",
"lambda:UpdateEventSourceMapping",
"lambda:DeleteEventSourceMapping"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"lambda:FunctionArn": "arn:aws:lambda:region:AccountID:function:function_name"
}
}
},
{
"Sid": "ActionsWhichDoNotSupportResourceLevelPermissions",
"Effect": "Allow",
"Action": [
"lambda:UntagResource",
"lambda:TagResource"
],
"Resource": "*"
}
]
}注: 関連するリージョン、アカウント ID、関数名、ARN などを含むポリシーをアップデートします。
lambda:AddPermissionとlambda:RemovePermission を使用して、渡されたポリシーに含まれるプリンシパルへのアクセスをさらに制限できます。また、lambda:UpdateEventSourceMapping と lambda:DeleteEventSourceMapping を特定のイベントソースマッピングに制限することができます。詳細については、AWS Lambda のアイデンティティベースの IAM ポリシーを参照してください。
カスタマー管理 AWS Key Management Service (AWS KMS) キーを指定して、環境変数を暗号化するために、次のような IAM ポリシースニペットを使用してさらに KMS 権限を追加します。
...
{
"Sid": "PermissionsForCryptoOperations",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:region:AccountID:key/keyID"
},
{
"Sid": "PermissionsToListExistingKeys",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
}
...注: 関連するリージョン、アカウント ID、関数名、ARN などを含むポリシーを更新します。
Lambda コンソールを使用して、Lambda 関数の設定を変更するには、以下のようなアクセス権限を別途付与します。
...
{
"Sid": "PermissionsToViewFunctionsInConsole",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetAccountSettings"
],
"Resource": "*"
}
...Lambda 関数を呼び出すために必要な権限
AWS CLI または SDK を使用して、テスト目的で Lambda 関数を手動で呼び出すには、以下のような権限を追加します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionToInvoke",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:region:AccountID:function:function_name"
}
]
}注: 関連するリージョン、アカウント ID、関数名、ARN などを含むポリシーをアップデートします。
Lambda コンソールを使用して Lambda 関数を一覧表示するには、次のような権限を追加します。
...
{
"Sid": "PermissionsToViewFunctionsConfigInConsole",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetAccountSettings",
"lambda:GetFunction"
],
"Resource": "*"
}
...Lambda 関数を呼び出すために、その他のサービスを許可するには、 AWS Lambda(Lambda 関数ポリシー)でリソースベースのポリシーを使用します。関数ポリシーを使用して、Lambda 関数へのクロスアカウントアクセスを提供します。次のポリシー例を使用して、異なる AWS アカウントのユーザーに Lambda 関数を手動で呼び出すことを許可します。
{
"Version": "2012-10-17",
"Id": "default",
"Statement": [
{
"Sid": "PermissionToInvoke",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ExternalAccountID:user/username"
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:region:AccountID:function:function_name"
}
]
}注: 関連するリージョン、アカウント ID、関数名、ARN などを含むポリシーをアップデートします。
Lambda 関数をモニタリングするために必要な権限
Lambda コンソールの Monitoring ビューで Amazon CloudWatch メトリックスを表示するには、次のような権限を追加します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionForCloudWatchMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}特定の CloudWatch メトリックスと CloudWatch Logs Insights に権限をを付与するには、 Amazon CloudWatch 権限リファレンス と CloudWatch Logs Insights CloudWatch Logs 権限リファレンス を参照してください。
