AWS politiques gérées pour AWS Lambda - AWS Lambda
AWSLambda_FullAccessAWSLambda_ReadOnlyAccessAWSLambdaBasicExecutionRoleAWSLambdaBasicDurableExecutionRolePolicyAWSLambdaRôle Dynamo DBExecutionAWSLambdaENIManagementAccèsAWSLambdaInvocation-DynamoDBAWSLambdaKinesisExecutionRoleAWSLambdaMSKExecutionRôleAWSLambdaRôleAWSLambdaSQSQueueExecutionRoleAWSLambdaVPCAccessExecutionRoleAWSLambdaGéré EC2 ResourceOperatorAWSLambdaServiceRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Lambda

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

AWS politique gérée : AWSLambda_FullAccess

Cette stratégie accorde un accès complet aux actions Lambda. Il accorde également des autorisations à d'autres AWS services utilisés pour développer et gérer les ressources Lambda.

Vous pouvez attacher la stratégie AWSLambda_FullAccess à vos utilisateurs, groupes et rôles.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • lambda : donne aux principaux un accès complet à Lambda.

  • cloudformation— Permet aux directeurs de décrire les AWS CloudFormation piles et de répertorier les ressources qu'elles contiennent.

  • cloudwatch— Permet aux principaux de répertorier les CloudWatch métriques Amazon et d'obtenir des données métriques.

  • ec2— Permet aux principaux de décrire les groupes de sécurité, les sous-réseaux et. VPCs

  • iam : permet aux principaux d’obtenir les stratégies, les versions des stratégies, les rôles, les stratégies de rôle, les stratégies de rôles associées et la liste des rôles. Cette stratégie permet également aux principaux de transmettre des rôles à Lambda. L’autorisation PassRole est utilisée lorsque vous attribuez un rôle d’exécution à une fonction. L'CreateServiceLinkedRoleautorisation est utilisée lors de la création d'un rôle lié à un service.

  • kms— Permet aux principaux de répertorier les alias et de décrire la clé pour le chiffrement des volumes.

  • logs : permet aux principaux de décrire les flux de journaux, d’obtenir les événements du journal, de filtrer les événements du journal et de démarrer et arrêter dsessions Live Tail.

  • states— Permet aux directeurs de décrire et de répertorier les machines AWS Step Functions d'état.

  • tag : permet aux principaux d’obtenir des ressources en fonction de leurs balises.

  • xray— Permet aux principaux d'obtenir des résumés de AWS X-Ray traces et de récupérer une liste de traces spécifiée par ID.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, consultez AWSLambda_FullAccessle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambda_ReadOnlyAccess

Cette politique accorde un accès en lecture seule aux ressources Lambda et aux autres AWS services utilisés pour développer et gérer les ressources Lambda.

Vous pouvez attacher la stratégie AWSLambda_ReadOnlyAccess à vos utilisateurs, groupes et rôles.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • lambda : permet aux principaux d’obtenir et de répertorier toutes les ressources.

  • cloudformation— Permet aux directeurs de décrire et de répertorier les AWS CloudFormation piles et de répertorier les ressources qu'elles contiennent.

  • cloudwatch— Permet aux principaux de répertorier les CloudWatch métriques Amazon et d'obtenir des données métriques.

  • ec2— Permet aux principaux de décrire les groupes de sécurité, les sous-réseaux et. VPCs

  • iam : permet aux principaux d’obtenir les stratégies, les versions des stratégies, les rôles, les stratégies de rôle, les stratégies de rôles associées et la liste des rôles.

  • kms : permet aux principaux de répertorier les alias.

  • logs : permet aux principaux de décrire les flux de journaux, d’obtenir les événements du journal, de filtrer les événements du journal et de démarrer et arrêter dsessions Live Tail.

  • states— Permet aux directeurs de décrire et de répertorier les machines AWS Step Functions d'état.

  • tag : permet aux principaux d’obtenir des ressources en fonction de leurs balises.

  • xray— Permet aux principaux d'obtenir des résumés de AWS X-Ray traces et de récupérer une liste de traces spécifiée par ID.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, consultez AWSLambda_ReadOnlyAccessle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambda BasicExecutionRole

Cette politique accorde des autorisations pour télécharger des CloudWatch journaux dans Logs.

Vous pouvez attacher la stratégie AWSLambdaBasicExecutionRole à vos utilisateurs, groupes et rôles.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, consultez AWSLambdaBasicExecutionRolele Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambda BasicDurableExecutionRolePolicy

Cette politique fournit des autorisations d'écriture aux CloudWatch journaux et read/write des autorisations d'exécution durable APIs utilisées par les fonctions durables Lambda. Cette politique fournit les autorisations essentielles requises pour les fonctions durables Lambda, qui utilisent l'exécution durable pour maintenir la progression et maintenir l'état d'un appel de fonction APIs à l'autre.

Vous pouvez attacher la stratégie AWSLambdaBasicDurableExecutionRolePolicy à vos utilisateurs, groupes et rôles.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • logs— Permet aux principaux de créer des groupes de journaux et des flux de journaux, et d'écrire les événements des journaux dans les CloudWatch journaux.

  • lambda— Permet aux principaux de vérifier l'état d'exécution durable et de récupérer l'état d'exécution durable pour les fonctions durables Lambda.

Pour plus de détails sur cette politique, y compris la dernière version du document sur la politique JSON, consultez AWSLambdaBasicDurableExecutionRolePolicy dans le Guide de référence de la politique gérée par AWS .

AWS stratégie gérée : AWSLambda Dynamo Role DBExecution

Cette politique accorde des autorisations pour lire les enregistrements d'un flux Amazon DynamoDB et pour écrire dans Logs. CloudWatch

Vous pouvez attacher la stratégie AWSLambdaDynamoDBExecutionRole à vos utilisateurs, groupes et rôles.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, consultez AWSLambdaDynamo DBExecution Role dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambda ENIManagement Accès

Cette stratégie accorde les autorisations nécessaires pour créer, décrire et supprimer des interfaces réseau Elastic utilisées par une fonction Lambda compatible VPC.

Vous pouvez attacher la stratégie AWSLambdaENIManagementAccess à vos utilisateurs, groupes et rôles.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, consultez AWSLambdaENIManagementAccess dans le guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambdaInvocation-DynamoDB

Cette stratégie accorde un accès en lecture à Amazon DynamoDB Streams.

Vous pouvez attacher la stratégie AWSLambdaInvocation-DynamoDB à vos utilisateurs, groupes et rôles.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, consultez AWSLambdaInvocation-DynamoDBle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambda KinesisExecutionRole

Cette politique accorde l'autorisation de lire les événements d'un flux de données Amazon Kinesis et d'écrire dans Logs. CloudWatch

Vous pouvez attacher la stratégie AWSLambdaKinesisExecutionRole à vos utilisateurs, groupes et rôles.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, consultez AWSLambdaKinesisExecutionRolele Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambda MSKExecution rôle

Cette politique autorise la lecture et l'accès aux enregistrements d'un cluster Amazon Managed Streaming for Apache Kafka, la gestion des interfaces réseau élastiques et l'écriture dans les CloudWatch journaux.

Vous pouvez attacher la stratégie AWSLambdaMSKExecutionRole à vos utilisateurs, groupes et rôles.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, voir AWSLambdaMSKExecutionRôle dans le guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambda rôle

Cette stratégie accorde des autorisations pour invoquer les fonctions Lambda.

Vous pouvez attacher la stratégie AWSLambdaRole à vos utilisateurs, groupes et rôles.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, voir AWSLambdaRôle dans le guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambda SQSQueue ExecutionRole

Cette politique accorde des autorisations pour lire et supprimer des messages d'une file d'attente Amazon Simple Queue Service, et accorde des autorisations d'écriture aux CloudWatch journaux.

Vous pouvez attacher la stratégie AWSLambdaSQSQueueExecutionRole à vos utilisateurs, groupes et rôles.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, consultez AWSLambdaSQSQueueExecutionRolele Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambda VPCAccess ExecutionRole

Cette politique accorde des autorisations pour gérer des interfaces réseau élastiques au sein d'un Amazon Virtual Private Cloud et pour écrire dans CloudWatch Logs.

Vous pouvez attacher la stratégie AWSLambdaVPCAccessExecutionRole à vos utilisateurs, groupes et rôles.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, consultez AWSLambdaVPCAccessExecutionRolele Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSLambda Géré EC2 ResourceOperator

Cette politique permet la gestion automatisée des instances Amazon Elastic Compute Cloud pour les fournisseurs de capacité Lambda. Il accorde des autorisations au service Lambda Scaler pour effectuer des opérations sur le cycle de vie des instances en votre nom.

Vous pouvez attacher la stratégie AWSLambdaManagedEC2ResourceOperator à vos utilisateurs, groupes et rôles.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ec2:RunInstances— Permet à Lambda de lancer de nouvelles EC2 instances Amazon à condition que ec2 : soit ManagedResourceOperator égal à scaler.lambda.amazonaws.com et limite l'utilisation des AMI aux images appartenant à Amazon uniquement.

  • ec2:DescribeInstanceset ec2:DescribeInstanceStatus — Permet à Lambda de surveiller l'état de l'instance et de récupérer les informations relatives à l'instance.

  • ec2:CreateTags— Permet à Lambda de baliser les EC2 ressources Amazon à des fins de gestion et d'identification.

  • ec2:DescribeAvailabilityZones— Permet à Lambda de visualiser les zones disponibles pour les décisions de placement des instances.

  • ec2:DescribeCapacityReservations— Permet à Lambda de vérifier les réservations de capacité pour un placement optimal des instances.

  • ec2:DescribeInstanceTypeset ec2:DescribeInstanceTypeOfferings — Permet à Lambda de passer en revue les types d'instances disponibles et leurs offres.

  • ec2:DescribeSubnets— Permet à Lambda d'examiner les configurations de sous-réseau pour la planification du réseau.

  • ec2:DescribeSecurityGroups— Permet à Lambda de récupérer les informations du groupe de sécurité pour la configuration de l'interface réseau.

  • ec2:CreateNetworkInterface— Permet à Lambda de créer des interfaces réseau et de gérer les associations de sous-réseaux et de groupes de sécurité.

  • ec2:AttachNetworkInterface— Permet à Lambda d'associer des interfaces réseau aux EC2 instances Amazon avec la condition ec2:ManagedResourceOperator égale à scaler.lambda.amazonaws.com.

Pour plus d'informations sur cette politique, y compris le document de politique JSON et les versions de politique, voir AWSLambdaManaged EC2 ResourceOperator dans le AWS Managed Policy Reference Guide.

AWS politique gérée : AWSLambda ServiceRolePolicy

Cette politique est attachée au rôle lié au service nommé pour permettre à Lambda AWSService RoleForLambda de mettre fin aux instances gérées dans le cadre des fournisseurs de capacité Lambda.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ec2:TerminateInstances— Permet à Lambda de mettre fin à des EC2 instances à la condition que ec2 : ManagedResourceOperator soit égal à scaler.lambda.amazonaws.com.

  • ec2:DescribeInstanceStatuset ec2:DescribeInstances — Permet à Lambda de décrire EC2 les instances.

Pour plus d'informations sur cette politique, consultez la section Utilisation de rôles liés à un service pour Lambda.

Mises à jour Lambda des politiques gérées AWS

Modifier Description Date

AWSLambdaGéré EC2 ResourceOperator — Nouvelle politique

Lambda a ajouté une nouvelle politique gérée pour permettre la gestion automatisée des EC2 instances Amazon pour les fournisseurs de capacité Lambda, permettant ainsi au service Scaler d'effectuer des opérations sur le cycle de vie des instances.

 30 novembre 2025

AWSLambdaServiceRolePolicy : nouvelle politique

Lambda a ajouté une nouvelle politique gérée pour le rôle lié au service afin de permettre à Lambda de mettre fin aux instances gérées dans le cadre des fournisseurs de capacité Lambda.

 30 novembre 2025

AWSLambda_FullAccess— Modification

Lambda a mis à jour la AWSLambda_FullAccess politique pour autoriser les actions kms:DescribeKey etiam:CreateServiceLinkedRole.

 30 novembre 2025

AWSLambdaBasicDurableExecutionRolePolicy— Nouvelle politique gérée

Lambda a publié une nouvelle politique gérée AWSLambdaBasicDurableExecutionRolePolicy qui fournit des autorisations d'écriture aux CloudWatch journaux et des autorisations d'exécution durable APIs utilisées par read/write les fonctions durables de Lambda.

 1er décembre 2025

AWSLambda_ReadOnlyAccesset AWSLambda_FullAccess— Modifier

Lambda a mis à jour les politiques AWSLambda_ReadOnlyAccess et AWSLambda_FullAccess pour autoriser les actions logs:StartLiveTail et logs:StopLiveTail.

 17 mars 2025

AWSLambdaVPCAccessExecutionRole— Modification

Lambda a mis à jour la politique AWSLambdaVPCAccessExecutionRole pour autoriser l’action ec2:DescribeSubnets.

 5 janvier 2024

AWSLambda_ReadOnlyAccess— Modification

Lambda a mis à jour la AWSLambda_ReadOnlyAccess politique pour autoriser les principaux à répertorier les piles. CloudFormation

27 juillet 2023

AWS Lambda a commencé à suivre les modifications

AWS Lambda a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 27 juillet 2023