文档:AWS Lambda permissions - AWS Lambda
1.简介
可以使用 AWS IAM 来管理对 Lambda API 以及函数和层等资源的访问。
对于账户中使用 Lambda 的用户和应用程序,可以 IAM 用户、组或角色的权限策略中管理权限。
要向使用 Lambda 资源的其他账户或 AWS 服务授予权限,可以使用适用于资源本身的策略。
Lambda 函数还有一个称为执行角色的策略,授予它访问 AWS 服务和资源的权限。
函数至少需要访问 Amazon CloudWatch Logs 以进行日志流式传输。
如果使用 AWS X-Ray 跟踪函数,或者函数使用 AWS 开发工具包访问服务
则授予以执行角色调用它们的权限。
当使用事件源映射时,Lambda 还使用执行角色来获取从事件源读取的权限。
2.执行角色
Lambda 函数的执行角色是一个 AWS IAM 角色,授予函数访问 AWS 服务和资源的权限。
在创建函数时提供此角色,而 Lambda 在调用函数时代入该角色。
可以为开发创建一个执行角色,该角色有权将日志发送到 Amazon CloudWatch
并将跟踪数据上传到 AWS X-Ray。包含下面两个策略
- AWSLambdaBasicExecutionRole
- AWSXRayDaemonWriteAccess。
当向函数添加权限时,也要更新其代码或配置