创建 IAM 策略以访问 Amazon Lambda 资源 - Amazon Aurora
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建 IAM 策略以访问 Amazon Lambda 资源

您可以创建一个 IAM 策略,以便为 Aurora 提供所需的最小权限以代表您调用 Amazon Lambda 函数。

以下策略添加 Aurora 代表您调用 Amazon Lambda 函数所需的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleFunction",
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:<region>:<123456789012>:function:<example_function>"
        }
    ]
}

您可以按照以下步骤创建一个 IAM 策略,以便为 Aurora 提供所需的最小权限以代表您调用 Amazon Lambda 函数。要允许 Aurora 调用所有 Amazon Lambda 函数,您可以跳过这些步骤并使用预定义 AWSLambdaRole 策略,而不是创建自己的策略。

创建 IAM 策略以授予调用 Amazon Lambda 函数的权限

  1. 打开 IAM 控制台

  2. 在导航窗格中,选择策略

  3. 选择 Create policy (创建策略)

  4. 可视化编辑器选项卡上,选择选择服务,然后选择 Lambda

  5. Actions (操作) 下面选择 Expand all (全部展开),然后选择 IAM 策略所需的 Amazon Lambda 权限。

    确保选择了 InvokeFunction。这是允许 Amazon Aurora 调用 Amazon Lambda 函数所需的最小权限。

  6. 选择资源,然后为函数选择添加 ARN

  7. 添加 ARN 对话框中,提供有关资源的详细信息。

    指定要允许访问的 Lambda 函数。例如,如果您希望允许 Aurora 访问名为 example_function 的 Lambda 函数,请将 ARN 值设置为 arn:aws:lambda:::function:example_function

    有关如何为 Amazon Lambda 定义访问策略的更多信息,请参阅 Amazon Lambda 的身份验证和访问控制

  8. 或者,选择添加额外的权限以将另一个 Amazon Lambda 函数添加到策略中,然后为该函数重复前面的步骤。

    注意

    您可以重复该操作,以便在希望 Aurora 访问的每个 Amazon Lambda 函数的策略中添加相应的函数权限语句。

  9. 选择 Review policy (查看策略)

  10. 名称设置为适合您的 IAM 策略的名称,例如 AllowAuroraToExampleFunction。在创建 IAM 角色与 Aurora 数据库集群关联时,需要使用此名称。您也可以添加可选的描述值。

  11. 选择创建策略

  12. 完成 创建 IAM 角色以允许 Amazon Aurora 访问Amazon服务 中的步骤。