Utilizzo delle politiche AWS gestite nel ruolo di esecuzione

Le seguenti politiche AWS gestite forniscono le autorizzazioni necessarie per utilizzare le funzionalità Lambda.

Modifica	Descrizione	Data
AWSLambdaMSKExecutionRole— Lambda ha aggiunto l'autorizzazione kafka: DescribeCluster V2 a questa policy.	`AWSLambdaMSKExecutionRole`concede le autorizzazioni per leggere e accedere ai record da un cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK), gestire interfacce di rete elastiche (ENI) e scrivere nei log. CloudWatch	17 giugno 2022
AWSLambdaBasicExecutionRole— Lambda ha iniziato a tracciare le modifiche a questa politica.	`AWSLambdaBasicExecutionRole` concede le autorizzazioni per caricare i log su CloudWatch.	14 febbraio 2022
AWSLambdaDynamoDBExecutionRole— Lambda ha iniziato a tracciare le modifiche a questa politica.	`AWSLambdaDynamoDBExecutionRole`concede le autorizzazioni per leggere i record da un flusso Amazon DynamoDB e scrivere nei log. CloudWatch	14 febbraio 2022
AWSLambdaKinesisExecutionRole— Lambda ha iniziato a tracciare le modifiche a questa politica.	`AWSLambdaKinesisExecutionRole`concede le autorizzazioni per leggere eventi da un flusso di dati Amazon Kinesis e scrivere su Logs. CloudWatch	14 febbraio 2022
AWSLambdaMSKExecutionRole— Lambda ha iniziato a tracciare le modifiche a questa politica.	`AWSLambdaMSKExecutionRole`concede le autorizzazioni per leggere e accedere ai record da un cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK), gestire interfacce di rete elastiche (ENI) e scrivere nei log. CloudWatch	14 febbraio 2022
AWSLambdaSQSQueueExecutionRole— Lambda ha iniziato a tracciare le modifiche a questa politica.	`AWSLambdaSQSQueueExecutionRole`concede le autorizzazioni per leggere un messaggio da una coda Amazon Simple Queue Service (Amazon SQS) e scrivere nei log. CloudWatch	14 febbraio 2022
AWSLambdaVPCAccessExecutionRole— Lambda ha iniziato a tracciare le modifiche a questa politica.	`AWSLambdaVPCAccessExecutionRole`concede le autorizzazioni per gestire ENI all'interno di un Amazon VPC e scrivere su Logs. CloudWatch	14 febbraio 2022
AWSXRayDaemonWriteAccess— Lambda ha iniziato a tracciare le modifiche a questa politica.	`AWSXRayDaemonWriteAccess` concede le autorizzazioni per caricare i dati non elaborati su X-Ray.	14 febbraio 2022
CloudWatchLambdaInsightsExecutionRolePolicy— Lambda ha iniziato a tracciare le modifiche a questa politica.	`CloudWatchLambdaInsightsExecutionRolePolicy`concede le autorizzazioni per scrivere metriche di runtime a CloudWatch Lambda Insights.	14 febbraio 2022
Politica AmazonS3 ObjectLambdaExecutionRole: Lambda ha iniziato a tracciare le modifiche a questa politica.	`AmazonS3ObjectLambdaExecutionRolePolicy`concede le autorizzazioni per interagire con l'oggetto Lambda di Amazon Simple Storage Service (Amazon S3) e per scrivere su Logs. CloudWatch	14 febbraio 2022

Per alcune funzionalità, la console Lambda tenta di aggiungere autorizzazioni mancanti al ruolo di esecuzione in una policy gestita dal cliente. Queste policy possono diventare numerose. Aggiungere le policy gestite AWS pertinenti al ruolo di esecuzione prima di abilitare le funzionalità per evitare la creazione di policy aggiuntive.

Quando si utilizza una mappatura origine eventi per invocare la funzione, Lambda utilizza il ruolo di esecuzione per leggere i dati dell'evento. Ad esempio, la mappatura dell'origine eventi per Kinesis legge gli eventi provenienti da un flusso di dati e li invia alla funzione in batch.

Quando un servizio assume un ruolo nel tuo account, puoi includere le chiavi di contesto delle condizioni globali aws:SourceAccount e aws:SourceArn nella policy di attendibilità del ruolo per limitare l'accesso al ruolo solo alle richieste generate dalle risorse previste. Per ulteriori informazioni consulta Prevenzione del problema "confused deputy" tra servizi per AWS Security Token Service.

Oltre alle policy AWS gestite, la console Lambda fornisce modelli per la creazione di policy personalizzate con autorizzazioni per casi d'uso aggiuntivi. Quando si crea una funzione nella console Lambda, è possibile scegliere di creare un nuovo ruolo di esecuzione con le autorizzazioni da uno o più modelli. Questi modelli vengono applicati automaticamente al momento della creazione di una funzione da un piano, oppure quando si configurano le opzioni che richiedono l'accesso ad altri servizi. Modelli di esempio sono disponibili nell'archivio di questa guida. GitHub

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiorna il ruolo di esecuzione

Funzione sorgente ARN