권한
AWS Identity and Access Management(IAM)를 사용하여 Lambda API 및 리소스(함수 및 계층 등)에 대한 액세스를 관리할 수 있다. Lambda를 사용하는 계정에서 사용자와 애플리케이션에 대해 IAM 사용자, 그룹, 역할 등에 적용하는 IAM 정책을 만들 수 있다.
모든 Lambda 함수에는 다음과 같은 실행 역할이라는 IAM 역할이 있다. 이 역할에서 함수가 다른 AWS 서비스 및 리소스에 액세스하는 데 필요한 권한을 정의하는 정책을 연결할 수 있다. 함수는 최소한 로그 스트리밍을 위해 Amazon CloudWatch Logs에 액세스할 수 있어야 한다. 함수가 AWS SDK를 사용하여 다른 서비스 API를 호출하는 경우의 실행 역할의 정책에 필요한 권한을 포함해야 한다. 또한 Lambda는 이벤트 소스 매핑을 사용하여 함수를 호출할 때 실행 역할을 사용하여 이벤트 소스를 읽을 수 있는 권한을 얻는다.
다른 계정과 AWS 서비스에 Lambda 리소스를 사용할 권한을 부여하려면 리소스 기반 정책을 사용한다. Lambda 리소스는 함수, 버전, 별칭, 계층 버전을 포함한다. 사용자가 Lambda 리소스에 액세스하려고 하면 Lambda는 사용자의 아이덴터티 기반 정책 및 리소스의 리소스 기반 정책을 모두 고려한다. Amazon Simple Storage Service(Amazon S3 같은 AWS 서비스가 Lambda 함수를 호출하면 Lambda는 리소스 기반 정책만 고려한다.
계정의 사용자 및 애플리케이션에 대한 권한을 관리하려면 AWS 관리형 정책을 사용하는 것이 좋다. 이러한 관리형 정책을 그대로 사용하거나, 이를 바탕으로 보다 제한적인 정책을 직접 만드는 시작점으로 활용할 수 있다. 정책은 작업이 영향을 주는 리소스별로 또는 경우에 따라 추가 선택 조건별로 사용자 권한을 제한할 수 있다. 자세한 정보는 Lambda 작업에 사용되는 리소스 및 조건을 참조한다.
Lambda 함수에 다른 AWS 함수에 대한 호출이 포함된 경우 해당 리소스에 액세스할 수 있는 함수를 제한해야 할 수도 있다. 이를 위해서는 대상 리소스에 대한 리소스 기반 정책에서 lambda:SourceFunctionArn 조건 키를 포함한다. 자세한 정보는 Lambda 실행 환경 아이덴터티 작업을 참조한다.
IAM에 대한 자세한 내용은 IAM 사용 설명서를 참조한다.
주제