本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
规则定义的一部分是 IAM 角色,该角色授予对规则操作中指定的资源的访问权限。当调用规则的操作时,规则引擎会代入该角色。角色的定义必须与规则 AWS 账户 相同。
在创建或替换规则时,您实际上将角色提交到规则引擎中。无需 iam:PassRole 权限即可执行该操作。要验证您是否拥有此权限,请创建一个授予该iam:PassRole权限的策略并将其附加到您的IAM用户。以下策略介绍了如何向角色提供 iam:PassRole 权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/myRole"
]
}
]
}在此策略示例中,将 iam:PassRole 权限授予了角色 myRole。该角色是使用角色指定的ARN。将此政策附加到您的IAM用户或您的用户所属的角色。有关更多信息,请参阅使用管理的策略。
注意
Lambda 函数使用基于资源的策略,该策略直接附加至 Lambda 函数本身。在您创建调用 Lambda 函数的规则时,您未传递角色,因此创建规则的用户无需 iam:PassRole 权限。有关 Lambda 函数授权的更多信息,请参阅使用资源策略授予权限。
