发布于: Nov 26, 2024
Amazon Lambda 现在支持 Lambda 函数基于资源的策略中的 aws:PrincipalOrgID 条件键。客户可以对 Lambda 函数(包括特定版本或别名)使用基于资源的策略,为其他亚马逊云科技账户或服务授予使用权限。aws:PrincipalOrgID 条件键旨在使用 IAM(Identity and Access Management)主体的亚马逊云科技组织来控制对亚马逊云科技资源的访问。现在,您可以在函数基于资源的策略中使用此条件键,要求所有访问 Lambda 函数的主体都必须来自组织中的某个账户。此外,当您添加和移除账户时,包含 aws:PrincipalOrgID 键的策略应自动包含正确的账户,并有助于最大限度地减少手动更新。
除了列出组织中所有亚马逊云科技账户的所有账户 ID 外,aws:PrincipalOrgID 键提供了另一种选择。以前,要将 Lambda 函数的访问权限限制为仅限组织内部亚马逊云科技账户的主体,用户必须将每个亚马逊云科技账户 ID 分别添加到基于资源的策略中。现在,您可以在 Lambda 基于资源的策略的条件元素中指定组织 ID。
在为 Lambda 函数(包括特定版本或别名)添加权限时,您可以通过亚马逊云科技控制台、CLI 或 CloudFormation 开始使用此功能,方法是传递您的组织 ID。Lambda 将使用请求中提供的值作为您的组织 ID,使用条件键 aws:PrincipalOrgID 帮助生成基于资源的策略。
在基于资源的策略中对 PrincipalOrgID 的支持现已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域推出。有关可用性的更多信息,请参阅亚马逊云科技区域表。