AWSLambda_FullAccess AWSLambda_ReadOnlyAccess AWSLambdaBasicExecutionRole AWSLambdaDynamoDBExecutionRole AWSLambdaENIManagementAccess AWSLambdaExecute AWSLambdaInvocation-dynamoDB AWSLambdaKinesisExecutionRole AWSLambdaMSKExecutionRole AWSLambdaRole AWSLambdaSQSQueueExecutionRole AWSLambdaVPCAccessExecutionRole 策略更新

适用于 Amazon Lambda 的 Amazon 托管式策略

Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住，Amazon 托管策略可能不会为您的特定使用场景授予最低权限，因为它们可供所有 Amazon 客户使用。建议通过定义特定于您的应用场景的客户托管策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新在 Amazon 托管策略中定义的权限，则更新会影响该策略所附加到的所有主体身份（用户、组和角色）。当新的 Amazon Web Service 启动或新的 API 操作可用于现有服务时，Amazon 最有可能更新 Amazon 托管策略。

有关更多信息，请参阅《IAM 用户指南》中的 Amazon 托管策略。

主题

Amazon托管策略： AWSLambda_FullAccess
Amazon托管策略： AWSLambda_ReadOnlyAccess
Amazon托管策略： AWSLambdaBasicExecutionRole
Amazon托管策略： AWSLambdaDynamoDBExecutionRole
Amazon托管策略： AWSLambdaENIManagementAccess
Amazon托管策略： AWSLambdaExecute
Amazon托管策略： AWSLambdaInvocation-DynamoDB
Amazon托管策略： AWSLambdaKinesisExecutionRole
Amazon托管策略： AWSLambdaMSKExecutionRole
Amazon托管策略： AWSLambdaRole
Amazon托管策略： AWSLambdaSQSQueueExecutionRole
Amazon托管策略： AWSLambdaVPCAccessExecutionRole
Lambda 对 Amazon 托管式策略的更新

Amazon托管策略： AWSLambda_FullAccess

该策略向所有 Lambda 操作授予完全访问权限。它还向用于开发和维护 Lambda 资源的其他 Amazon 服务授予权限。

您可以将 AWSLambda_FullAccess 策略附加到用户、组和角色。

权限详细信息

该策略包含以下权限：

lambda：允许主体完全访问 Lambda。
cloudformation：允许主体描述 Amazon CloudFormation 堆栈并列出这些堆栈中的资源。
cloudwatch— 允许委托人列出 Amazon CloudWatch 指标并获取指标数据。
ec2：允许主体描述安全组、子网和 VPC。
iam：允许主体获取策略、策略版本、角色、角色策略、附加角色策略和角色列表。此策略还允许主体将角色传递给 Lambda。将执行角色分配给函数时，需要使用 PassRole 权限。
kms：允许主体列出别名。
logs— 允许委托人描述 Amazon CloudWatch 日志组。对于与 Lambda 函数关联的日志组，此策略允许主体描述日志流、获取日志事件和筛选日志事件。
states：允许主体描述和列出 Amazon Step Functions 状态机。
tag：允许主体根据其标签获取资源。
xray：允许主体获取 Amazon X-Ray 跟踪摘要并检索按 ID 指定的跟踪列表。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambda_FullAccess中的。

Amazon托管策略： AWSLambda_ReadOnlyAccess

此策略授予对 Lambda 资源以及用于开发和维护 Lambda 资源的其他 Amazon 服务的只读访问权限。

您可以将 AWSLambda_ReadOnlyAccess 策略附加到用户、组和角色。

权限详细信息

该策略包含以下权限：

lambda：允许主体获取并列出所有资源。
cloudformation：允许主体描述并列出 Amazon CloudFormation 堆栈以及其中的资源。
cloudwatch— 允许委托人列出 Amazon CloudWatch 指标并获取指标数据。
ec2：允许主体描述安全组、子网和 VPC。
iam：允许主体获取策略、策略版本、角色、角色策略、附加角色策略和角色列表。
kms：允许主体列出别名。
logs— 允许委托人描述 Amazon CloudWatch 日志组。对于与 Lambda 函数关联的日志组，此策略允许主体描述日志流、获取日志事件和筛选日志事件。
states：允许主体描述和列出 Amazon Step Functions 状态机。
tag：允许主体根据其标签获取资源。
xray：允许主体获取 Amazon X-Ray 跟踪摘要并检索按 ID 指定的跟踪列表。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambda_ReadOnlyAccess中的。

Amazon托管策略： AWSLambdaBasicExecutionRole

此策略授予将日志上传到 CloudWatch 日志的权限。

您可以将 AWSLambdaBasicExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambdaBasicExecutionRole中的。

Amazon托管策略： AWSLambdaDynamoDBExecutionRole

此策略授予从 Amazon DynamoDB 流中读取记录和写入日志的权限。 CloudWatch

您可以将 AWSLambdaDynamoDBExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambdaDynamoDBExecutionRole中的。

Amazon托管策略： AWSLambdaENIManagementAccess

此策略授予创建、描述和删除启用 VPC 的 Lambda 函数所使用的弹性网络接口的权限。

您可以将 AWSLambdaENIManagementAccess 策略附加到用户、组和角色。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambdaENIManagementAccess中的。

Amazon托管策略： AWSLambdaExecute

该政策授予PUT和GET访问亚马逊简单存储服务的权限，以及对 CloudWatch 日志的完全访问权限。

您可以将 AWSLambdaExecute 策略附加到用户、组和角色。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambdaExecute中的。

Amazon托管策略： AWSLambdaInvocation-DynamoDB

此策略授予对 Amazon DynamoDB Streams 的读取权限。

您可以将 AWSLambdaInvocation-DynamoDB 策略附加到用户、组和角色。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅《Amazon托管策略参考指南》中的 AWSLambdaInvocation-DynamoDB。

Amazon托管策略： AWSLambdaKinesisExecutionRole

该策略授予从 Amazon Kinesis 数据流读取事件和写入日志的 CloudWatch 权限。

您可以将 AWSLambdaKinesisExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambdaKinesisExecutionRole中的。

Amazon托管策略： AWSLambdaMSKExecutionRole

该策略授予读取和访问亚马逊托管流媒体for Apache Kafka集群的记录、管理弹性网络接口以及写入日志的权限。 CloudWatch

您可以将 AWSLambdaMSKExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambdaMSKExecutionRole中的。

Amazon托管策略： AWSLambdaRole

此策略授予调用 Lambda 函数的权限。

您可以将 AWSLambdaRole 策略附加到用户、组和角色。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambdaRole中的。

Amazon托管策略： AWSLambdaSQSQueueExecutionRole

此策略授予从 Amazon 简单队列服务队列中读取和删除消息的权限，并授予对 CloudWatch 日志的写入权限。

您可以将 AWSLambdaSQSQueueExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambdaSQSQueueExecutionRole中的。

Amazon托管策略： AWSLambdaVPCAccessExecutionRole

该策略授予在 Amazon Virtual Private Cloud 中管理弹性网络接口和写入 CloudWatch 日志的权限。

您可以将 AWSLambdaVPCAccessExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息，包括 JSON 策略文档和策略版本，请参阅Amazon托管策略参考指南AWSLambdaVPCAccessExecutionRole中的。

Lambda 对 Amazon 托管式策略的更新

更改	描述	日期
AWSLambdaVPCAccessExecutionRole— 改变	Lambda 更新了`AWSLambdaVPCAccessExecutionRole`策略以允许该操作。`ec2:DescribeSubnets`	2024 年 1 月 5 日
AWSLambda_ReadOnlyAccess— 改变	Lambda 更新了 `AWSLambda_ReadOnlyAccess` 策略，以允许主体列出 Amazon CloudFormation 堆栈。	2023 年 7 月 27 日
Amazon Lambda 开启了跟踪更改	Amazon Lambda 为其 Amazon 托管式策略开启了跟踪更改。	2023 年 7 月 27 日

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

基于身份的策略示例

问题排查