As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Transmitir permissões de função
Parte da definição de uma regra é uma IAM função que concede permissão para acessar recursos especificados na ação da regra. O mecanismo de regras assume essa função quando a ação da regra é invocada. A função deve ser definida da mesma forma Conta da AWS que a regra.
Ao criar ou substituir uma regra, você está, na verdade, transferindo uma função para o mecanismo de regras. A permissão iam:PassRole
é necessária para executar essa operação. Para verificar se você tem essa permissão, crie uma política que conceda a iam:PassRole
permissão e anexe-a ao seu IAM usuário. A política a seguir mostra como conceder iam:PassRole
a permissão para uma função.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::123456789012:role/myRole" ] } ] }
Nesse exemplo de política, a iam:PassRole
permissão é concedida para a função myRole
. A função é especificada usando a funçãoARN. Anexe essa política ao seu IAM usuário ou função à qual seu usuário pertence. Para obter mais informações, consulte Como trabalhar com políticas gerenciadas.
nota
As funções Lambda usam política baseada em recursos, em que a política é vinculada diretamente à própria função do Lambda. Ao criar uma regra que invoca uma função do Lambda, você não transmite uma função, assim, o usuário que está criando a regra não precisa da permissão do iam:PassRole
. Para obter mais informações sobre a autorização de função do Lambda, consulte Como conceder permissões usando uma política de recurso.