AWS Lambda
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

步骤 2.2:创建执行角色(IAM 角色)

现在,您将创建在创建 Lambda 函数时指定的 IAM 角色(执行角色)。此角色具有授予 Lambda 函数所需的必要权限(如写入 CloudWatch 日志的权限、从 S3 存储桶读取 CloudTrail 日志对象的权限、在 Lambda 函数在 CloudTrail 记录中找到特定 API 调用时将事件发布到 SNS 主题的权限)的权限策略。

有关执行角色的更多信息,请参阅管理权限:使用 IAM 角色(执行角色)

创建 IAM 角色(执行角色)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 创建托管策略并将其附加到 IAM 角色。在本步骤中,您将修改现有 AWS 托管策略,使用其他名称保存该策略,然后将该权限策略附加到您创建的 IAM 角色。

    1. 在 IAM 控制台的导航窗格中,选择 Policies,然后选择 Create Policy

    2. Copy an AWS Managed Policy 旁边,选择 Select

    3. AWSLambdaExecute 旁边,选择 Select

    4. 将下面的策略复制到 Policy Document 中替换现有策略,然后使用您创建的 Amazon SNS 主题的 ARN 更新该策略。

      Copy
      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:*" ], "Resource": "arn:aws:logs:*:*:*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::examplebucket/*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "your sns topic ARN" } ] }
  3. 记下权限策略名称(在下一步中会用到)。

  4. 按照 IAM 用户指南创建角色以向 AWS 服务委派权限的步骤创建 IAM 角色,然后将您刚刚创建的权限策略附加到该角色。遵循步骤创建角色时,请注意以下事项:

    • Role Name 中,使用在 AWS 账户内唯一的名称(例如,lambda-cloudtrail-execution-role)。

    • Select Role Type 中,选择 AWS Service Roles,然后选择 AWS Lambda

    • Attach Policy 中,选择在上一步中创建的策略。

下一步

步骤 2.3:创建 Lambda 函数并手动对其进行测试

本页内容: