AWS Lambda 执行角色
AWS Lambda 函数的执行角色授予该函数访问 AWS 服务和资源的权限。您在创建函数时提供该角色,当您的函数被调用时,Lambda 代入该角色。您可以创建一个有权将日志发送到 Amazon CloudWatch 并将跟踪数据上传到 AWS X-Ray 的开发执行角色。
创建执行角色
-
打开 IAM 控制台中的“角色”页面。
-
选择 Create role (创建角色)。
-
创建具有以下属性的角色:
-
可信任的实体 – AWS Lambda。
-
权限 – AWSLambdaBasicExecutionRole、AWSXrayWriteOnlyAccess
-
角色名称 –
lambda-role
-
可以随时在函数的执行角色中添加或删除权限,或配置您的函数以使用不同的角色。为您的函数使用 AWS 开发工具包调用的任何服务以及为 Lambda 用来启用可选功能的服务添加权限。
以下托管策略提供使用 Lambda 功能所需的权限:
-
AWSLambdaBasicExecutionRole – 将日志上传到 CloudWatch 的权限。
-
AWSLambdaKinesisExecutionRole – 读取来自 Amazon Kinesis 数据流或使用者的事件的权限。
-
AWSLambdaDynamoDBExecutionRole – 读取 Amazon DynamoDB 流记录的权限。
-
AWSLambdaSQSQueueExecutionRole – 读取 Amazon Simple Queue Service (Amazon SQS) 队列消息的权限。
-
AWSLambdaVPCAccessExecutionRole – 管理弹性网络接口以将您的函数连接到 VPC 的权限。
-
AWSXrayWriteOnlyAccess – 将跟踪数据上传到 X-Ray 的权限。
当您使用事件源映射调用您的函数时,Lambda 使用执行角色读取事件数据。例如,Amazon Kinesis 的事件源映射从数据流读取事件并将事件成批发送到您的函数。可以将事件源映射用于以下服务:
除了托管策略,Lambda 控制台还为创建包含与额外用例相关的权限的自定义策略提供模板。当您创建函数时,可以选择利用来自一个或多个模板的权限创建新的执行角色。当您从蓝图创建函数,或者配置需要访问其他服务的选项时,也会自动应用这些模板。示例模板可从本指南的 GitHub 存储库中找到。