リソースベースポリシー
Lambda関数に直接アタッチするアクセス許可ポリシー。他のAWSアカウント、組織、AWSサービスがその関数を呼び出すことを許可する
出典: Viewing resource-based IAM policies in Lambda
IAMポリシーとの違い
| リソースベースポリシー | IAMポリシー(実行ロール) | |
|---|---|---|
| アタッチ先 | Lambda関数 | IAMロール/ユーザー |
| 制御対象 | 誰がこの関数を呼び出せるか | この関数が何にアクセスできるか |
| 用途 | 外部からの呼び出し許可 | 関数内部からのAWSリソースアクセス |
外部サービス/アカウント → [リソースベースポリシー] → Lambda関数 → [実行ロール] → 他のAWSリソース
主なユースケース
- S3バケットのイベントでLambdaを起動
- SNSトピックからLambdaを呼び出し
- API GatewayからLambdaを呼び出し
- 別のAWSアカウントからLambdaを呼び出し
- EventBridgeルールでLambdaをトリガー