本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS Lambda
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 受管政策:AWSLambda\$1FullAccess](#lambda-security-iam-awsmanpol-AWSLambda_FullAccess)
+ [AWS 受管政策:AWSLambda\$1ReadOnlyAccess](#lambda-security-iam-awsmanpol-AWSLambda_ReadOnlyAccess)
+ [AWS 受管政策:AWSLambdaBasicExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaBasicExecutionRole)
+ [AWS 受管政策:AWSLambdaBasicDurableExecutionRolePolicy](#lambda-security-iam-awsmanpol-AWSLambdaBasicDurableExecutionRolePolicy)
+ [AWS 受管政策:AWSLambdaDynamoDBExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaDynamoDBExecutionRole)
+ [AWS 受管政策:AWSLambdaENIManagementAccess](#lambda-security-iam-awsmanpol-AWSLambdaENIManagementAccess)
+ [AWS 受管政策:AWSLambdaInvocation-DynamoDB](#lambda-security-iam-awsmanpol-AWSLambdaInvocation-DynamoDB)
+ [AWS 受管政策:AWSLambdaKinesisExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaKinesisExecutionRole)
+ [AWS 受管政策:AWSLambdaMSKExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaMSKExecutionRole)
+ [AWS 受管政策:AWSLambdaRole](#lambda-security-iam-awsmanpol-AWSLambdaRole)
+ [AWS 受管政策:AWSLambdaSQSQueueExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaSQSQueueExecutionRole)
+ [AWS 受管政策:AWSLambdaVPCAccessExecutionRole](#lambda-security-iam-awsmanpol-AWSLambdaVPCAccessExecutionRole)
+ [AWS 受管政策:AWSLambdaManagedEC2ResourceOperator](#lambda-security-iam-awsmanpol-AWSLambdaManagedEC2ResourceOperator)
+ [AWS 受管政策:AWSLambdaServiceRolePolicy](#lambda-security-iam-awsmanpol-AWSLambdaServiceRolePolicy)
+ [AWS 受管政策的 Lambda 更新](#lambda-security-iam-awsmanpol-updates)
## AWS 受管政策:AWSLambda\$1FullAccess
此政策也會授予完整存取權給 Lambda 動作。它還將許可授予用於開發和維護 Lambda 資源的其他 AWS 服務。
您可以將 `AWSLambda_FullAccess` 政策連接至使用者、群組與角色。
**許可詳細資訊**
此政策包含以下許可:
+ `lambda`:允許委託人完整存取 Lambda。
+ `cloudformation` – 允許主體描述 AWS CloudFormation 堆疊並列出這些堆疊中的資源。
+ `cloudwatch`:允許委託人列出 Amazon CloudWatch 指標並取得指標資料。
+ `ec2`:允許委託人描述安全群組、子網路和 VPC。
+ `iam`:允許委託人取得政策、政策版本、角色、角色政策、連接角色政策以及角色清單。此政策也允許委託人將角色傳遞給 Lambda。將執行角色指派給函數時,便會使用 `PassRole` 許可。建立服務連結角色時,會使用 `CreateServiceLinkedRole`許可。
+ `kms` – 允許主體列出別名並描述磁碟區加密的金鑰。
+ `logs`:允許主體描述日誌串流、取得日誌事件、篩選日誌事件,以及開始和停止 Live Tail 工作階段。
+ `states` – 允許主體描述和列出 AWS Step Functions 狀態機器。
+ `tag`:允許委託人根據其標籤取得資源。
+ `xray` – 允許主體取得 AWS X-Ray 追蹤摘要,並擷取 ID 指定的追蹤清單。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambda\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_FullAccess.html)。
## AWS 受管政策:AWSLambda\$1ReadOnlyAccess
此政策授予對 Lambda 資源和用於開發和維護 Lambda 資源之其他服務 AWS 的唯讀存取權。
您可以將 `AWSLambda_ReadOnlyAccess` 政策連接至使用者、群組與角色。
**許可詳細資訊**
此政策包含以下許可:
+ `lambda`:允許委託人取得和列出所有資源。
+ `cloudformation` – 允許主體描述和列出 AWS CloudFormation 堆疊,並列出這些堆疊中的資源。
+ `cloudwatch`:允許委託人列出 Amazon CloudWatch 指標並取得指標資料。
+ `ec2`:允許委託人描述安全群組、子網路和 VPC。
+ `iam`:允許委託人取得政策、政策版本、角色、角色政策、連接角色政策以及角色清單。
+ `kms`:允許委託人列出別名。
+ `logs`:允許主體描述日誌串流、取得日誌事件、篩選日誌事件,以及開始和停止 Live Tail 工作階段。
+ `states` – 允許主體描述和列出 AWS Step Functions 狀態機器。
+ `tag`:允許委託人根據其標籤取得資源。
+ `xray` – 允許主體取得 AWS X-Ray 追蹤摘要,並擷取 ID 指定的追蹤清單。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambda\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_ReadOnlyAccess.html)。
## AWS 受管政策:AWSLambdaBasicExecutionRole
此政策授予將日誌上傳至 CloudWatch Logs 的許可。
您可以將 `AWSLambdaBasicExecutionRole` 政策連接至使用者、群組與角色。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambdaBasicExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaBasicExecutionRole.html)。
## AWS 受管政策:AWSLambdaBasicDurableExecutionRolePolicy
此政策提供 CloudWatch Logs 的寫入許可,以及 Lambda 耐用函數使用的耐久執行 APIs讀取/寫入許可。此政策提供 Lambda 耐用函數所需的基本許可,其使用耐用APIs 來保留進度,並維持函數叫用之間的狀態。
您可以將 `AWSLambdaBasicDurableExecutionRolePolicy` 政策連接至使用者、群組與角色。
**許可詳細資訊**
此政策包含以下許可:
+ `logs` – 允許主體建立日誌群組和日誌串流,並將日誌事件寫入 CloudWatch Logs。
+ `lambda` – 允許主體檢查持久性執行狀態,並擷取 Lambda 持久性函數的持久性執行狀態。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 *AWS 受管政策參考指南*》中的 [AWSLambdaBasicDurableExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaBasicDurableExecutionRolePolicy.html)。
## AWS 受管政策:AWSLambdaDynamoDBExecutionRole
此政策授予從 Amazon DynamoDB 串流讀取記錄和寫入 CloudWatch Logs 的許可。
您可以將 `AWSLambdaDynamoDBExecutionRole` 政策連接至使用者、群組與角色。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambdaDynamoDBExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaDynamoDBExecutionRole.html)。
## AWS 受管政策:AWSLambdaENIManagementAccess
此政策授予建立、描述和刪除已啟用 VPC 之 Lambda 函數所使用之彈性網路界面的許可。
您可以將 `AWSLambdaENIManagementAccess` 政策連接至使用者、群組與角色。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambdaENIManagementAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaENIManagementAccess.html)。
## AWS 受管政策:AWSLambdaInvocation-DynamoDB
此政策授予 Amazon DynamoDB Streams 的讀取存取權。
您可以將 `AWSLambdaInvocation-DynamoDB` 政策連接至使用者、群組與角色。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambdaInvocation-DynamoDB](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaInvocation-DynamoDB.html)。
## AWS 受管政策:AWSLambdaKinesisExecutionRole
此政策授予從 Amazon Kinesis 資料串流讀取事件和寫入 CloudWatch Logs 的許可。
您可以將 `AWSLambdaKinesisExecutionRole` 政策連接至使用者、群組與角色。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambdaKinesisExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaKinesisExecutionRole.html)。
## AWS 受管政策:AWSLambdaMSKExecutionRole
此政策授予從 Amazon Managed Streaming for Apache Kafka 叢集中讀取和存取記錄、管理彈性網絡界面,以及寫入 CloudWatch Logs 的許可。
您可以將 `AWSLambdaMSKExecutionRole` 政策連接至使用者、群組與角色。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambdaMSKExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaMSKExecutionRole.html)。
## AWS 受管政策:AWSLambdaRole
此政策授予調用 Lambda 函數的許可。
您可以將 `AWSLambdaRole` 政策連接至使用者、群組與角色。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambdaRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaRole.html)。
## AWS 受管政策:AWSLambdaSQSQueueExecutionRole
此政策授予從 Amazon Simple Queue Service 佇列中讀取和刪除訊息以及寫入 CloudWatch Logs 的許可。
您可以將 `AWSLambdaSQSQueueExecutionRole` 政策連接至使用者、群組與角色。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambdaSQSQueueExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaSQSQueueExecutionRole.html)。
## AWS 受管政策:AWSLambdaVPCAccessExecutionRole
此政策授予在 Amazon Virtual Private Cloud 中管理彈性網路界面和寫入 CloudWatch Logs 的許可。
您可以將 `AWSLambdaVPCAccessExecutionRole` 政策連接至使用者、群組與角色。
如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《*AWS 受管政策參考指南*》中的 [AWSLambdaVPCAccessExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaVPCAccessExecutionRole.html)。
## AWS 受管政策:AWSLambdaManagedEC2ResourceOperator
此政策可為 Lambda 容量提供者啟用自動化 Amazon Elastic Compute Cloud 執行個體管理。它將許可授予 Lambda 擴展器服務,以代表您執行執行個體生命週期操作。
您可以將 `AWSLambdaManagedEC2ResourceOperator` 政策連接至使用者、群組與角色。
**許可詳細資訊**
此政策包含以下許可:
+ `ec2:RunInstances` – 允許 Lambda 以 ec2:ManagedResourceOperator 等於 scaler.lambda.amazonaws.com 的條件啟動新的 Amazon EC2 執行個體,並將 AMI 用量限制為僅限 Amazon 擁有的映像。
+ `ec2:DescribeInstances` 和 `ec2:DescribeInstanceStatus` – 允許 Lambda 監控執行個體狀態並擷取執行個體資訊。
+ `ec2:CreateTags` – 允許 Lambda 標記 Amazon EC2 資源以進行管理和識別。
+ `ec2:DescribeAvailabilityZones` – 允許 Lambda 檢視執行個體置放決策的可用區域。
+ `ec2:DescribeCapacityReservations` – 允許 Lambda 檢查容量保留,以獲得最佳執行個體放置。
+ `ec2:DescribeInstanceTypes` 和 `ec2:DescribeInstanceTypeOfferings` – 允許 Lambda 檢閱可用的執行個體類型及其方案。
+ `ec2:DescribeSubnets` – 允許 Lambda 檢查子網路組態以進行網路規劃。
+ `ec2:DescribeSecurityGroups` – 允許 Lambda 擷取網路介面組態的安全群組資訊。
+ `ec2:CreateNetworkInterface` – 允許 Lambda 建立網路介面和管理子網路和安全群組關聯。
+ `ec2:AttachNetworkInterface` – 允許 Lambda 將網路介面連接到條件`ec2:ManagedResourceOperator`等於 [scaler.lambda.amazonaws.com](http://scaler.lambda.amazonaws.com/) 的 Amazon EC2 執行個體。
如需此政策的詳細資訊,包括 JSON 政策文件和政策版本,請參閱《 *AWS 受管政策參考指南*》中的 [AWSLambdaManagedEC2ResourceOperator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaManagedEC2ResourceOperator.html)。
## AWS 受管政策:AWSLambdaServiceRolePolicy
此政策會連接到名為 AWSServiceRoleForLambda 的服務連結角色,以允許 Lambda 終止作為 Lambda 容量提供者一部分管理的執行個體。
**許可詳細資訊**
此政策包含以下許可:
+ `ec2:TerminateInstances` – 允許 Lambda 終止條件為 ec2:ManagedResourceOperator 等於 scaler.lambda.amazonaws.com 的 EC2 執行個體。
+ `ec2:DescribeInstanceStatus` 和 `ec2:DescribeInstances` – 允許 Lambda 描述 EC2 執行個體。
如需此政策的詳細資訊,請參閱[使用 Lambda 的服務連結角色](using-service-linked-roles.md)。
## AWS 受管政策的 Lambda 更新
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSLambdaManagedEC2ResourceOperator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaManagedEC2ResourceOperator.html) – 新政策 | Lambda 新增了新的受管政策,為 Lambda 容量提供者啟用自動化 Amazon EC2 執行個體管理,允許擴展器服務執行執行個體生命週期操作。 | 2025 年 11 月 30 日 |
| [AWSLambdaServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaServiceRolePolicy.html) – 新政策 | Lambda 新增了服務連結角色的新受管政策,以允許 Lambda 終止做為 Lambda 容量提供者一部分管理的執行個體。 | 2025 年 11 月 30 日 |
| [AWSLambda\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_FullAccess.html) – 變更 | Lambda 已更新`AWSLambda_FullAccess`政策,以允許 `kms:DescribeKey`和 `iam:CreateServiceLinkedRole`動作。 | 2025 年 11 月 30 日 |
| [AWSLambdaBasicDurableExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaBasicDurableExecutionRolePolicy.html) – 新受管政策 | Lambda 發佈了新的受管政策`AWSLambdaBasicDurableExecutionRolePolicy`,為 CloudWatch Logs 提供寫入許可,並為 Lambda 耐用函數使用的持久執行 APIs提供讀取/寫入許可。 | 2025 年 12 月 1 日 |
| [AWSLambda\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_ReadOnlyAccess.html) 和 [AWSLambda\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_FullAccess.html):變更 | Lambda 更新了 `AWSLambda_ReadOnlyAccess` 和 `AWSLambda_FullAccess` 政策,允許 `logs:StartLiveTail` 和 `logs:StopLiveTail` 動作。 | 2025 年 3 月 17 日 |
| [AWSLambdaVPCAccessExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaVPCAccessExecutionRole.html):變更 | Lambda 更新了 `AWSLambdaVPCAccessExecutionRole` 政策以允許動作 `ec2:DescribeSubnets`。 | 2024 年 1 月 5 日 |
| [AWSLambda\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambda_ReadOnlyAccess.html):變更 | Lambda 已更新`AWSLambda_ReadOnlyAccess`政策,允許主體列出 CloudFormation 堆疊。 | 2023 年 7 月 27 日 |
| AWS Lambda 開始追蹤變更 | AWS Lambda 已開始追蹤其 AWS 受管政策的變更。 | 2023 年 7 月 27 日 |