为 Lambda 代码签名配置 IAM 策略 - Amazon Lambda
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为 Lambda 代码签名配置 IAM 策略

要授予用户访问 Lambda 代码签名 API 操作的权限,请将一个或多个策略声明附加到用户策略。有关用户策略的详细信息,请参阅Lambda 的基于身份的 IAM policy

以下示例策略声明将授予创建、更新和检索代码签名配置的权限。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "lambda:CreateCodeSigningConfig",
          "lambda:UpdateCodeSigningConfig",
          "lambda:GetCodeSigningConfig"
        ],
      "Resource": "*" 
    }
  ]
}

管理员可以使用 CodeSigningConfigArn 条件键指定开发人员创建或更新函数时必须使用的代码签名配置。

以下示例策略声明将授予创建函数的权限。策略声明包括指定允许的代码签名配置的 lambda:CodeSigningConfigArn 条件。如果 CodeSigningConfigArn 参数缺失或与条件中的值不匹配,则 Lambda 会阻止 CreateFunction API 请求。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReferencingCodeSigningConfig",
      "Effect": "Allow",
      "Action": [
        "lambda:CreateFunction"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "lambda:CodeSigningConfigArn": "arn:aws:lambda:us-east-1:111122223333:code-signing-config:csc-0d4518bd353a0a7c6"
        }
      }
    }
  ]
}