步骤 2.2:创建执行角色(IAM 角色)
现在,您将创建在创建 Lambda 函数时指定的 IAM 角色(执行角色)。此角色具有授予 Lambda 函数所需的必要权限(如写入 CloudWatch 日志的权限、从 S3 存储桶读取 CloudTrail 日志对象的权限、在 Lambda 函数在 CloudTrail 记录中找到特定 API 调用时将事件发布到 SNS 主题的权限)的权限策略。
有关执行角色的更多信息,请参阅管理权限:使用 IAM 角色(执行角色)。
创建 IAM 角色(执行角色)
-
登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/。
-
创建托管策略并将其附加到 IAM 角色。在本步骤中,您将修改现有 AWS 托管策略,使用其他名称保存该策略,然后将该权限策略附加到您创建的 IAM 角色。
-
在 IAM 控制台的导航窗格中,选择 Policies,然后选择 Create Policy。
-
在 Copy an AWS Managed Policy 旁边,选择 Select。
-
在 AWSLambdaExecute 旁边,选择 Select。
-
将下面的策略复制到 Policy Document 中替换现有策略,然后使用您创建的 Amazon SNS 主题的 ARN 更新该策略。
Copy{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:*" ], "Resource": "arn:aws:logs:*:*:*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::examplebucket/*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "your sns topic ARN" } ] }
-
-
记下权限策略名称(在下一步中会用到)。
-
按照 IAM 用户指南 中创建角色以向 AWS 服务委派权限的步骤创建 IAM 角色,然后将您刚刚创建的权限策略附加到该角色。遵循步骤创建角色时,请注意以下事项:
-
在 Role Name 中,使用在 AWS 账户内唯一的名称(例如,lambda-cloudtrail-execution-role)。
-
在 Select Role Type 中,选择 AWS Service Roles,然后选择 AWS Lambda。
-
在 Attach Policy 中,选择在上一步中创建的策略。
-
