Add dynamo db access permission to lambda function in cdk

I have a lambda function which write data to and read data from dynamo db. I want to add resource based policy to lambda function. But I couldn't find any relevant method in the cdk. Though I found function.addPermission method, it provides permissions to other AWS services to invoke this lambda.

トピック

サーバーレス計算するセキュリティ、アイデンティティ、コンプライアンスデータベース

タグ

AWS Lambda AWS Identity and Access Management Amazon DynamoDB

言語

English

Navin GV

質問済み 2年前6995ビュー

2回答

新しい順
投票が多い順
コメントが多い順

In general, it is recommended to use the grant function rather than granting permission directly from the cdk. for example,

const lambdaFunc = new lambda.Function(....);
const ddbTable = new ddb.Table(...);

ddbTable.grantReadData(lambdaFunc);
ddbTable.grantReadWriteData(lambdaFunc);

AWS-Kwonyul

回答済み 2年前

Leeroy Hannigan エキスパート
2年前
Where is this recommended? It seems its not as granular as adding a policy to the function where you can refine the permission policy to API/Resource? Instead, your example allows all API's against the table which is quite permissive.

If you were to use this approach it would be best if you use the grantStream(grantee, ...actions) function where you can be more restrictive with your permissions.

承認された回答

For this you can use the add_role_to_policy function:

from aws_cdk import aws_lambda as _lambda
from aws_cdk.aws_lambda_python import PythonFunction
from aws_cdk import aws_iam as iam

my_function = PythonFunction(
    #function logic
)
  
my_function.add_to_role_policy(iam.PolicyStatement(
    effect=iam.Effect.ALLOW,
    actions=[
        'dynamodb:GetItem',
    ],
    resources=[
        'TABLE_ARN',
    ],
))

The above policy uses Python and grants the Lambda GetItem permissions on the DynamoDB table which ARN you provide.

More info can be found here

エキスパート

Leeroy Hannigan

回答済み 2年前

関連するコンテンツ

I AM内の各ページや他サービスへのアクセス権限を復活させられません
Takashi5223
質問済み 6年前
Dynamo DBによるセッション管理について
codable
質問済み 6年前
How to add an IAM policy to restrict HTTP request methods and only allow POST to be used HTTP要求メソッドを制限し、POSTのみを使用できるようにIAMポリシーを追加する方法
承認された回答
Dgk
質問済み 3ヶ月前
How to add a policy to the permission policy of IAM roles that allows only users verified through the Cognito user pool to download files during S3 download.如何追加一个策略，使得该策略可以在S3下载时，仅允许通过Cognito用户池验证的用户
承認された回答
Dgk
質問済み 3ヶ月前
キャッシュが有効になっている Lambda オーソライザーを使用する API Gateway プロキシリソースが、HTTP 403「User is not authorized to access this resource (ユーザーはこのリソースへのアクセスを許可されていません)」というエラーを返すのはなぜですか。
AWS公式更新しました 2年前
CloudFormation スタックを削除するときに、「CloudFormation is waiting for NetworkInterfaces associated with the Lambda function to be cleaned up」というメッセージが表示されました。
AWS公式更新しました 3年前
Amazon RDS プロキシを Lambda 関数にアタッチするときに発生する「Lambda could not update the function's execution role」(Lambda が関数の実行ロールを更新できませんでした) というエラーを解決するにはどうすればよいですか?
AWS公式更新しました 2年前
API Gateway REST API からの「Invalid permissions on Lambda function」(Lambda 関数の無効な許可) エラーを解決するにはどうすればよいですか?
AWS公式更新しました 2年前
アベイラビリティーゾーン (AZ) の移行&インスタンスのアップグレードガイド
エキスパート
Sumikawa_M
公開済み 2ヶ月前
AWS Application Migration Service (MGN) と MGN vCenter クライアントを利用してエージェントレスで VMware 仮想環境 (VMware Cloud on AWS) 上の仮想マシンを Amazon EC2 に移行する
エキスパート
Koichi Takeda
公開済み 2日前