Utilizzo delle policy gestite da AWS nel ruolo di esecuzione - AWS Lambda

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle policy gestite da AWS nel ruolo di esecuzione

Le seguenti policy gestite AWS offrono le autorizzazioni necessarie per utilizzare le caratteristiche Lambda:

Modifica Descrizione Data

AWSLambdaMSKExecutionRole: Lambda ha aggiunto l'autorizzazione kafka:DescribeClusterV2 a questa policy.

AWSLambdaMSKExecutionRole concede le autorizzazioni per leggere e accedere ai record da un cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK), gestire interfacce di rete elastiche (ENI) e scrivere sui registri CloudWatch.

17 giugno 2022

AWSLambdaBasicExecutionRole – Lambda ha iniziato a monitorare le modifiche apportate a questa policy.

AWSLambdaBasicExecutionRole concede le autorizzazioni per caricare i log su CloudWatch.

14 febbraio 2022

AWSLambdaDynamoDBExecutionRole – Lambda ha iniziato a monitorare le modifiche apportate a questa policy.

AWSLambdaDynamoDBExecutionRole concede le autorizzazioni per leggere i record da un flusso Amazon DynamoDB e scrivere sui registri CloudWatch.

14 febbraio 2022

AWSLambdaKinesisExecutionRole – Lambda ha iniziato a monitorare le modifiche apportate a questa policy.

AWSLambdaKinesisExecutionRole concede le autorizzazioni per leggere gli eventi da un flusso dei dati Amazon Kinesis e scrivere sui registri CloudWatch.

14 febbraio 2022

AWSLambdaMSKExecutionRole – Lambda ha iniziato a monitorare le modifiche apportate a questa policy.

AWSLambdaMSKExecutionRole concede le autorizzazioni per leggere e accedere ai record da un cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK), gestire interfacce di rete elastiche (ENI) e scrivere sui registri CloudWatch.

14 febbraio 2022

AWSLambdaSQSQueueExecutionRole – Lambda ha iniziato a monitorare le modifiche apportate a questa policy.

AWSLambdaSQSQueueExecutionRole concede le autorizzazioni per leggere un messaggio da una coda Amazon Simple Queue Service (Amazon SQS) e scrivere nei registri CloudWatch.

14 febbraio 2022

AWSLambdaVPCAccessExecutionRole – Lambda ha iniziato a monitorare le modifiche apportate a questa policy.

AWSLambdaVPCAccessExecutionRole concede le autorizzazioni per gestire le ENI all'interno di un Amazon VPC e scrivere sui registri CloudWatch.

14 febbraio 2022

AWSXRayDaemonWriteAccess – Lambda ha iniziato a monitorare le modifiche apportate a questa policy.

AWSXRayDaemonWriteAccess concede le autorizzazioni per caricare i dati non elaborati su X-Ray.

14 febbraio 2022

CloudWatchLambdaInsightsExecutionRolePolicy – Lambda ha iniziato a monitorare le modifiche apportate a questa policy.

CloudWatchLambdaInsightsExecutionRolePolicy concede le autorizzazioni per scrivere parametri di runtime su CloudWatch Lambda Insights.

14 febbraio 2022

AmazonS3ObjectLambdaExecutionRolePolicy – Lambda ha iniziato a monitorare le modifiche apportate a questa policy.

AmazonS3ObjectLambdaExecutionRolePolicy concede le autorizzazioni per interagire con la funzione Lambda dell'oggetto Amazon Simple Storage Service (Amazon S3) e scrivere sui registri CloudWatch.

14 febbraio 2022

Per alcune funzionalità, la console Lambda tenta di aggiungere autorizzazioni mancanti al ruolo di esecuzione in una policy gestita dal cliente. Queste policy possono diventare numerose. Aggiungere le policy gestite AWS pertinenti al ruolo di esecuzione prima di abilitare le funzionalità per evitare la creazione di policy aggiuntive.

Quando si utilizza una mappatura origine eventi per invocare la funzione, Lambda utilizza il ruolo di esecuzione per leggere i dati dell'evento. Ad esempio, la mappatura dell'origine eventi per Kinesis legge gli eventi provenienti da un flusso di dati e li invia alla funzione in batch.

Quando un servizio assume un ruolo nel tuo account, puoi includere le chiavi di contesto delle condizioni globali aws:SourceAccount e aws:SourceArn nella policy di attendibilità del ruolo per limitare l'accesso al ruolo solo alle richieste generate dalle risorse previste. Per ulteriori informazioni consulta Prevenzione del problema "confused deputy" tra servizi per AWS Security Token Service.

Oltre alle policy gestite AWS, la console Lambda offre modelli per la creazione di una policy personalizzata che ha le autorizzazioni relative ai casi d'uso aggiuntivi. Quando si crea una funzione nella console Lambda, è possibile scegliere di creare un nuovo ruolo di esecuzione con le autorizzazioni da uno o più modelli. Questi modelli vengono applicati automaticamente al momento della creazione di una funzione da un blueprint, oppure quando si configurano le opzioni che richiedono l'accesso ad altri servizi. Modelli di esempio sono disponibili nel Repository GitHub di questa guida.