Comprendre le rôle d’exécution d’AWS Lambda / Blogs / Perficient

Comme nous le savons, AWS Lambda est un service informatique sans serveur qui vous permet d’exécuter du code sans provisionner ni gérer de serveurs. Cependant, pour que les fonctions Lambda interagissent avec d’autres services ou ressources AWS, elles ont besoin d’autorisations. C’est là qu’intervient le rôle d’exécution d’AWS Lambda.

Un rôle d’exécution est un rôle AWS Identity and Access Management (IAM) que Lambda assume lorsqu’il exécute votre fonction lambda. Ce rôle donne les autorisations de fonctionnement dont il a besoin pour accéder aux services et ressources AWS en toute sécurité.

Pourquoi le rôle d’exécution Lambda est-il requis ?

Lorsque vous créez une fonction Lambda, elle a besoin d’autorisations pour accéder à d’autres ressources AWS telles que les compartiments S3, les tables DynamoDB ou les journaux CloudWatch. Au lieu d’intégrer les informations d’identification directement dans votre code (ce qui n’est pas sécurisé et peu pratique), vous attribuez un rôle d’exécution à la fonction Lambda. Ce rôle définit les autorisations dont dispose la fonction lorsqu’elle est invoquée.

Création d’un rôle d’exécution à l’aide d’AWS Management Console (GUI)

1. Connectez-vous à AWS Management Console :
2. Créer un nouveau rôle :
   • Dans le volet de navigation, choisissez « Rôles », puis « Créer un rôle ».
   • Choisissez « Service AWS » comme type d’entité de confiance.
   • Choisissez « Lambda » dans la liste des services.

1. • Cliquez sur « Suivant : Autorisations ».

3. Joindre les politiques d’autorisation :

• • Vous pouvez soit choisir des stratégies existantes, soit créer une stratégie personnalisée.

• • Cliquez sur « Suivant : Tags » (facultatif), puis sur « Suivant : Révision.

4.Réviser et créer :

• • Entrez un nom de rôle
  • Vérifiez le rôle et cliquez sur « Créer un rôle ».

1. Attachez le rôle à votre fonction Lambda :

• • Ouvrez le Console Lambda.
  • Sélectionnez votre fonction.
  • Sous « Rôle d’exécution », choisissez « Utiliser un rôle existant ».

1. • Sélectionnez le rôle que vous venez de créer et cliquez sur « Enregistrer ».

Création d’un rôle d’exécution à l’aide de l’AWS CLI

1. Créez la stratégie de confiance :

cat > politique.json <

{

« Version » : « 2012-10-17 »,

« Déclaration »: [

{

“Effect”: “Allow”,

“Principal”: {

“Service”: “lambda.amazonaws.com”

},

“Action”: “sts:AssumeRole”

}

]

}

EOF

2.Créez le rôle :

aws iam create-role –role-name LambdaExecutionRole –assume-role-policy-document file://policy.json

3.Joindre les politiques d’autorisation :

aws iam attach-role-policy –role-name LambdaExecutionRole –policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

4. Attachez le rôle à votre fonction Lambda :

aws lambda update-function-configuration –nom-fonction YourLambdaFunctionName –role arn:aws:iam::YourAccountID:role/LambdaExecutionRole

Utilisation d’IAM Access Analyzer pour identifier les autorisations requises

IAM Access Analyzer vous aide à identifier les autorisations dont votre fonction Lambda a besoin. Il analyse les activités de votre fonction et génère une politique qui accorde uniquement les autorisations requises.

1. Activer l’analyseur d’accès :

Conclusion

La création d’un rôle d’exécution AWS Lambda est essentielle pour accorder à votre fonction Lambda les autorisations nécessaires pour interagir en toute sécurité avec d’autres services AWS. Que vous préfériez utiliser AWS Management Console ou la CLI, le processus est simple. De plus, IAM Access Analyzer vous aidera à affiner vos politiques pour suivre le principe du moindre privilège, améliorant ainsi la sécurité de vos applications.

En suivant ces étapes, vous pouvez vous assurer que vos fonctions Lambda disposent des autorisations appropriées tout en conservant un environnement sécurisé et gérable.