在執行角色中使用 AWS 受管理的原則 - AWS Lambda

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在執行角色中使用 AWS 受管理的原則

下列 AWS 受管政策提供使用 Lambda 功能所需的權限。

變更 描述 日期

AWSLambdaMSKExecutionRole-Lambda 添加了卡夫卡:DescribeClusterV2 權限這一政策.

AWSLambdaMSKExecutionRole授予從 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 叢集讀取和存取記錄、管理彈性網路界面 (ENI) 以及寫入日誌的權限。 CloudWatch

2022 年 6 月 17 日

AWSLambdaBasicExecutionRole— Lambda 開始追蹤此政策的變更。

AWSLambdaBasicExecutionRole 授予將日誌上傳至 CloudWatch 的許可。

2022 年 2 月 14 日

AWSLambdaDynamoDBExecutionRole— Lambda 開始追蹤此政策的變更。

AWSLambdaDynamoDBExecutionRole授與從 Amazon DynamoDB 串流讀取記錄並寫入日誌的權限。 CloudWatch

2022 年 2 月 14 日

AWSLambdaKinesisExecutionRole— Lambda 開始追蹤此政策的變更。

AWSLambdaKinesisExecutionRole授與從 Amazon Kinesis 資料串流讀取事件並寫入 CloudWatch 日誌的權限。

2022 年 2 月 14 日

AWSLambdaMSKExecutionRole— Lambda 開始追蹤此政策的變更。

AWSLambdaMSKExecutionRole授予從 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 叢集讀取和存取記錄、管理彈性網路界面 (ENI) 以及寫入日誌的權限。 CloudWatch

2022 年 2 月 14 日

AWSLambdaSQSQueueExecutionRole— Lambda 開始追蹤此政策的變更。

AWSLambdaSQSQueueExecutionRole授與從 Amazon Simple Queue Service (Amazon SQS) 讀取訊息並寫入 CloudWatch 日誌的權限。

2022 年 2 月 14 日

AWSLambdaVPCAccessExecutionRole— Lambda 開始追蹤此政策的變更。

AWSLambdaVPCAccessExecutionRole授予在 Amazon VPC 內管理 ENI 並寫入日誌的許可。 CloudWatch

2022 年 2 月 14 日

AWSXRayDaemonWriteAccess— Lambda 開始追蹤此政策的變更。

AWSXRayDaemonWriteAccess 授予將追蹤資料上傳至 X-Ray 的許可。

2022 年 2 月 14 日

CloudWatchLambdaInsightsExecutionRolePolicy— Lambda 開始追蹤此政策的變更。

CloudWatchLambdaInsightsExecutionRolePolicy授與將執行階段指標寫入 CloudWatch Lambda 見解的權限。

2022 年 2 月 14 日

亞馬遜 S3 ObjectLambda ExecutionRole 政策 — Lambda 開始追蹤此政策的變更。

AmazonS3ObjectLambdaExecutionRolePolicy授予與亞馬遜簡單儲存服務 (Amazon S3) 物件 Lambda 互動並寫入 CloudWatch 日誌的許可。

2022 年 2 月 14 日

針對某些功能,Lambda 主控台會嘗試將遺漏的許可新增到您客戶受管政策中的執行角色。這些政策的數量可能會相當多。請在啟用功能前將相關受 AWS 管理˙政策新增到您的執行角色,以避免建立額外政策。

當您使用事件來源映射來調用函數時,Lambda 會使用執行角色來讀取事件資料。例如,Kinesis 的事件來源映射會從資料串流讀取事件,並將這些事件批次傳送到函數。

當服務在您的帳戶中擔任角色時,您可以在角色信任政策中包含 aws:SourceAccountaws:SourceArn 全域條件內容金鑰,以將角色的存取限制為僅由預期資源產生的請求。如需詳細資訊,請參閱 AWS Security Token Service的預防跨服務混淆代理人

除了 AWS 受管政策之外,Lambda 主控台還提供範本,用於建立具有其他使用案例權限的自訂原則。當您在 Lambda 主控台中建立函數時,您可以選擇使用來自一個或多個範本的許可建立新的執行角色。當您從藍圖建立函式時,或是您設定需要存取其他服務的選項時,也會自動套用這些範本。範例範本可在本指南的GitHub儲存庫中找到。