本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
傳遞角色權限
IAM 角色是規則定義的一部分,其授予指定於規則動作中資源的存取許可。當叫用規則的動作時,規則引擎會擔任該角色。角色的定義必須與規則 AWS 帳戶 相同。
當建立或替換某項規則時,實際上就是在將某個角色傳送至規則引擎。執行此操作需要 iam:PassRole 許可。若要驗證您是否具有此許可,請建立一項授予 iam:PassRole 許可的政策,並將其連接至您的 IAM 使用者。以下政策顯示了如何允許角色的 iam:PassRole 許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::123456789012:role/myRole" ] } ] }
在此政策範例中,已將 iam:PassRole 許可授予 myRole 角色。該角色是使用角色的 ARN 來指定。將此政策連接至您的 IAM 使用者或是您使用者所屬的角色。如需詳細資訊,請參閱處理受管政策的相關文章。
注意
Lambda 函數使用的是資源型政策,即是政策直接連接至 Lambda 函數本身。在您建立一個叫用 Lambda 函數的規則時,並不會傳遞角色,因此建立該規則的使用者不需要 iam:PassRole 許可。如需 Lambda 函數授權的詳細資訊,請參閱使用資源政策授予許可。
