传递角色权限 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

传递角色权限

规则定义的一部分是 IAM 角色,该角色授予对规则操作中指定的资源的访问权限。当调用规则的操作时,规则引擎会代入该角色。角色的定义必须与规则 Amazon Web Services 账户 相同。

在创建或替换规则时,您实际上将角色提交到规则引擎中。无需 iam:PassRole 权限即可执行该操作。为验证您拥有该权限,您需要创建一个策略以便授予 iam:PassRole 权限,并将其附加到您的 IAM 用户。以下策略介绍了如何向角色提供 iam:PassRole 权限。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Stmt1",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::123456789012:role/myRole"
			]
		}
	]
}

在此策略示例中,将 iam:PassRole 权限授予了角色 myRole。该角色使用角色的 ARN 指定。将此策略附加到您的 IAM 用户或用户所属的角色。有关更多信息,请参阅使用管理的策略

注意

Lambda 函数使用基于资源的策略,该策略直接附加至 Lambda 函数本身。在您创建调用 Lambda 函数的规则时,您未传递角色,因此创建规则的用户无需 iam:PassRole 权限。有关 Lambda 函数授权的更多信息,请参阅使用资源策略授予权限