传递角色权限 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

传递角色权限

规则定义的一部分是一个IAM角色,该角色授予访问规则操作中指定的资源的权限。当调用规则的操作时,规则引擎会代入该角色。角色的定义必须与规则 Amazon Web Services 账户 相同。

在创建或替换规则时,您实际上将角色提交到规则引擎中。无需 iam:PassRole 权限即可执行该操作。要验证您是否拥有此权限,请创建一个授予该iam:PassRole权限的策略并将其附加到您的IAM用户。以下策略介绍了如何向角色提供 iam:PassRole 权限。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Stmt1",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::123456789012:role/myRole"
			]
		}
	]
}

在此策略示例中,将 iam:PassRole 权限授予了角色 myRole。该角色是使用角色指定的ARN。将此政策附加到您的IAM用户或您的用户所属的角色。有关更多信息,请参阅使用管理的策略

注意

Lambda 函数使用基于资源的策略,该策略直接附加至 Lambda 函数本身。在您创建调用 Lambda 函数的规则时,您未传递角色,因此创建规则的用户无需 iam:PassRole 权限。有关 Lambda 函数授权的更多信息,请参阅使用资源策略授予权限