# 适用于 AWS Lambda 的 AWS 托管式策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用案例授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 托管式策略:AWSLambda\$1FullAccess](#lambda-security-iam-awsmanpol-AWSLambda_FullAccess)
+ [AWS 托管式策略:AWSLambda\$1ReadOnlyAccess](#lambda-security-iam-awsmanpol-AWSLambda_ReadOnlyAccess)
+ [AWS 托管式策略:AWSLambdaBasicExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaBasicExecutionRole)
+ [AWS 托管策略:AWSLambdaBasicDurableExecutionRolePolicy](#lambda-security-iam-awsmanpol-AWSLambdaBasicDurableExecutionRolePolicy)
+ [AWS 托管式策略:AWSLambdaDynamoDBExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaDynamoDBExecutionRole)
+ [AWS 托管式策略:AWSLambdaENIManagementAccess](#lambda-security-iam-awsmanpol-AWSLambdaENIManagementAccess)
+ [AWS 托管式策略:AWSLambdaInvocation-DynamoDB](#lambda-security-iam-awsmanpol-AWSLambdaInvocation-DynamoDB)
+ [AWS 托管式策略:AWSLambdaKinesisExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaKinesisExecutionRole)
+ [AWS 托管式策略:AWSLambdaMSKExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaMSKExecutionRole)
+ [AWS 托管式策略:AWSLambdaRole](#lambda-security-iam-awsmanpol-AWSLambdaRole)
+ [AWS 托管式策略:AWSLambdaSQSQueueExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaSQSQueueExecutionRole)
+ [AWS 托管式策略:AWSLambdaVPCAccessExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaVPCAccessExecutionRole)
+ [AWS 托管策略:AWSLambdaManagedEC2ResourceOperator](#lambda-security-iam-awsmanpol-AWSLambdaManagedEC2ResourceOperator)
+ [AWS 托管策略:AWSLambdaServiceRolePolicy](#lambda-security-iam-awsmanpol-AWSLambdaServiceRolePolicy)
+ [Lambda 对 AWS 托管式策略的更新](#lambda-security-iam-awsmanpol-updates)
## AWS 托管式策略:AWSLambda\$1FullAccess
该策略向所有 Lambda 操作授予完全访问权限。它还向用于开发和维护 Lambda 资源的其他 AWS 服务授予权限。
您可以将 `AWSLambda_FullAccess` 策略附加到用户、组和角色。
**权限详细信息**
该策略包含以下权限:
+ `lambda`:允许主体完全访问 Lambda。
+ `cloudformation`:允许主体描述 AWS CloudFormation 堆栈并列出这些堆栈中的资源。
+ `cloudwatch`:允许主体列出 Amazon CloudWatch 指标并获取指标数据。
+ `ec2`:允许主体描述安全组、子网和 VPC。
+ `iam`:允许主体获取策略、策略版本、角色、角色策略、附加角色策略和角色列表。此策略还允许主体将角色传递给 Lambda。将执行角色分配给函数时,需要使用 `PassRole` 权限。创建服务相关角色时将使用 `CreateServiceLinkedRole` 权限。
+ `kms`:允许主体列出别名和描述卷加密的密钥。
+ `logs` – 允许主体描述日志流、获取日志事件、筛选日志事件以及启动和停止 Live Tail 会话。
+ `states`:允许主体描述和列出 AWS Step Functions 状态机。
+ `tag`:允许主体根据其标签获取资源。
+ `xray`:允许主体获取 AWS X-Ray 跟踪摘要并检索按 ID 指定的跟踪列表。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambda\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_FullAccess.html)。
## AWS 托管式策略:AWSLambda\$1ReadOnlyAccess
此策略授予对 Lambda 资源以及用于开发和维护 Lambda 资源的其他 AWS 服务的只读访问权限。
您可以将 `AWSLambda_ReadOnlyAccess` 策略附加到用户、组和角色。
**权限详细信息**
该策略包含以下权限:
+ `lambda`:允许主体获取并列出所有资源。
+ `cloudformation`:允许主体描述并列出 AWS CloudFormation 堆栈以及其中的资源。
+ `cloudwatch`:允许主体列出 Amazon CloudWatch 指标并获取指标数据。
+ `ec2`:允许主体描述安全组、子网和 VPC。
+ `iam`:允许主体获取策略、策略版本、角色、角色策略、附加角色策略和角色列表。
+ `kms`:允许主体列出别名。
+ `logs` – 允许主体描述日志流、获取日志事件、筛选日志事件以及启动和停止 Live Tail 会话。
+ `states`:允许主体描述和列出 AWS Step Functions 状态机。
+ `tag`:允许主体根据其标签获取资源。
+ `xray`:允许主体获取 AWS X-Ray 跟踪摘要并检索按 ID 指定的跟踪列表。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambda\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_ReadOnlyAccess.html)。
## AWS 托管式策略:AWSLambdaBasicExecutionRole
此策略授予将日志上传到 CloudWatch Logs 的权限。
您可以将 `AWSLambdaBasicExecutionRole` 策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambdaBasicExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaBasicExecutionRole.html)。
## AWS 托管策略:AWSLambdaBasicDurableExecutionRolePolicy
该策略提供对 CloudWatch Logs 的写入权限,为 Lambda 持久性函数使用的持久执行 API 提供读/写权限。该策略提供 Lambda 持久性函数所需的基本权限,这些函数使用持久执行 API 来保持函数调用的进度并在调用之间保持状态。
您可以将 `AWSLambdaBasicDurableExecutionRolePolicy` 策略附加到用户、组和角色。
**权限详细信息**
该策略包含以下权限:
+ `logs`:允许主体创建日志组和日志流,并将日志事件写入 CloudWatch Logs。
+ `lambda`:允许主体检查持久执行状态并检索 Lambda 持久性函数的持久执行状态。
要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《AWS Managed Policy Reference Guide》**中的 [AWSLambdaBasicDurableExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaBasicDurableExecutionRolePolicy.html)。
## AWS 托管式策略:AWSLambdaDynamoDBExecutionRole
此策略授予读取 Amazon DynamoDB Streams 中的记录并写入 CloudWatch Logs 的权限。
您可以将 `AWSLambdaDynamoDBExecutionRole` 策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambdaDynamoDBExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaDynamoDBExecutionRole.html)。
## AWS 托管式策略:AWSLambdaENIManagementAccess
此策略授予创建、描述和删除启用 VPC 的 Lambda 函数所使用的弹性网络接口的权限。
您可以将 `AWSLambdaENIManagementAccess` 策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambdaENIManagementAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaENIManagementAccess.html)。
## AWS 托管式策略:AWSLambdaInvocation-DynamoDB
此策略授予对 Amazon DynamoDB Streams 的读取权限。
您可以将 `AWSLambdaInvocation-DynamoDB` 策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambdaInvocation-DynamoDB](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaInvocation-DynamoDB.html)。
## AWS 托管式策略:AWSLambdaKinesisExecutionRole
此策略授予读取 Amazon Kinesis Data Streams 中的事件和写入 CloudWatch Logs 的权限。
您可以将 `AWSLambdaKinesisExecutionRole` 策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambdaKinesisExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaKinesisExecutionRole.html)。
## AWS 托管式策略:AWSLambdaMSKExecutionRole
此策略授予读取和访问 Amazon Managed Streaming for Apache Kafka 集群中的记录、管理弹性网络接口及写入 CloudWatch Logs 的权限。
您可以将 `AWSLambdaMSKExecutionRole` 策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambdaMSKExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaMSKExecutionRole.html)。
## AWS 托管式策略:AWSLambdaRole
此策略授予调用 Lambda 函数的权限。
您可以将 `AWSLambdaRole` 策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambdaRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaRole.html)。
## AWS 托管式策略:AWSLambdaSQSQueueExecutionRole
此策略授予读取和删除 Amazon Simple Queue Service 队列中的消息的权限,以及写入 CloudWatch Logs 的权限。
您可以将 `AWSLambdaSQSQueueExecutionRole` 策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambdaSQSQueueExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaSQSQueueExecutionRole.html)。
## AWS 托管式策略:AWSLambdaVPCAccessExecutionRole
此策略授予管理 Amazon Virtual Private Cloud 中的弹性网络接口和写入 CloudWatch 日志的权限。
您可以将 `AWSLambdaVPCAccessExecutionRole` 策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambdaVPCAccessExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaVPCAccessExecutionRole.html)。
## AWS 托管策略:AWSLambdaManagedEC2ResourceOperator
该策略支持对 Lambda 容量提供程序进行自动化的 Amazon Elastic Compute Cloud 实例管理。它向 Lambda 扩展器服务授予相应的权限,使其能够代表您执行实例生命周期操作。
您可以将 `AWSLambdaManagedEC2ResourceOperator` 策略附加到用户、组和角色。
**权限详细信息**
该策略包含以下权限:
+ `ec2:RunInstances`:允许 Lambda 启动新的 Amazon EC2 实例,条件是 ec2:ManagedResourceOperator 等于 scaler.lambda.amazonaws.com,并且会将 AMI 的使用仅限于 Amazon 拥有的映像。
+ `ec2:DescribeInstances` 和 `ec2:DescribeInstanceStatus`:允许 Lambda 监控实例状态并检索实例信息。
+ `ec2:CreateTags`:允许 Lambda 标记 Amazon EC2 资源以进行管理和识别。
+ `ec2:DescribeAvailabilityZones`:允许 Lambda 查看可进行实例置放决策的可用区。
+ `ec2:DescribeCapacityReservations`:允许 Lambda 检查容量预留以实现最佳实例置放。
+ `ec2:DescribeInstanceTypes` 和 `ec2:DescribeInstanceTypeOfferings`:允许 Lambda 查看可用的实例类型及其产品。
+ `ec2:DescribeSubnets`:允许 Lambda 检查子网配置以进行网络规划。
+ `ec2:DescribeSecurityGroups`:允许 Lambda 检索网络接口配置所对应的安全组信息。
+ `ec2:CreateNetworkInterface`:允许 Lambda 创建网络接口并管理子网和安全组关联。
+ `ec2:AttachNetworkInterface`:允许 Lambda 将网络接口附加到 Amazon EC2 实例,条件是 `ec2:ManagedResourceOperator` 等于 [scaler.lambda.amazonaws.com](http://scaler.lambda.amazonaws.com/)。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《AWS Managed Policy Reference Guide**》中的 [AWSLambdaManagedEC2ResourceOperator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaManagedEC2ResourceOperator.html)。
## AWS 托管策略:AWSLambdaServiceRolePolicy
此策略将附加到名为 AWSServiceRoleForLambda 的服务相关角色,以允许 Lambda 终止作为 Lambda 容量提供程序一部分管理的实例。
**权限详细信息**
该策略包含以下权限:
+ `ec2:TerminateInstances`:允许 Lambda 终止 EC2 实例,条件是 ec2:ManagedResourceOperator 等于 scaler.lambda.amazonaws.com。
+ `ec2:DescribeInstanceStatus` 和 `ec2:DescribeInstances`:允许 Lambda 描述 EC2 实例。
有关此策略的更多信息,请参阅[将服务相关角色用于 Lambda](using-service-linked-roles.md)。
## Lambda 对 AWS 托管式策略的更新
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSLambdaManagedEC2ResourceOperator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaManagedEC2ResourceOperator.html):新策略 | Lambda 添加了一个新的托管策略,以便为 Lambda 容量提供程序启用自动化 Amazon EC2 实例管理,从而使扩缩器服务能够执行实例生命周期操作。 | 2025 年 11 月 30 日 |
| [AWSLambdaServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaServiceRolePolicy.html):新策略 | Lambda 为服务相关角色添加了新的托管策略,以允许 Lambda 终止作为 Lambda 容量提供程序一部分管理的实例。 | 2025 年 11 月 30 日 |
| [AWSLambda\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_FullAccess.html) :更改 | Lambda 更新了 `AWSLambda_FullAccess` 策略以允许 `kms:DescribeKey` 和 `iam:CreateServiceLinkedRole` 操作。 | 2025 年 11 月 30 日 |
| [AWSLambdaBasicDurableExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaBasicDurableExecutionRolePolicy.html):新托管策略 | Lambda 发布了一项新的托管策略 `AWSLambdaBasicDurableExecutionRolePolicy`,该策略提供对 CloudWatch Logs 的写入权限,为 Lambda 持久性函数使用的持久性执行 API 提供读/写权限。 | 2025 年 12 月 1 日 |
| [AWSLambda\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_ReadOnlyAccess.html) 和 [AWSLambda\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_FullAccess.html) – 更改 | Lambda 更新了 `AWSLambda_ReadOnlyAccess` 和 `AWSLambda_FullAccess` 策略以允许 `logs:StartLiveTail` 和 `logs:StopLiveTail` 操作。 | 2025 年 3 月 17 日 |
| [AWSLambdaVPCAccessExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaVPCAccessExecutionRole.html) – 变更 | Lambda 更新了 `AWSLambdaVPCAccessExecutionRole` 策略以允许操作 `ec2:DescribeSubnets`。 | 2024 年 1 月 5 日 |
| [AWSLambda\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_ReadOnlyAccess.html):变更 | Lambda 更新了 `AWSLambda_ReadOnlyAccess` 策略,以允许主体列出 CloudFormation 堆栈。 | 2023 年 7 月 27 日 |
| AWS Lambda 开启了跟踪更改 | AWS Lambda 为其 AWS 托管式策略开启了跟踪更改。 | 2023 年 7 月 27 日 |