Amazon适用于 的 托管式策略Amazon Lambda - Amazon Lambda
AWSLambda_FullAccessAWSLambda_ReadOnlyAccessAWSLambdaBasicExecutionRoleAWSLambdaBasicDurableExecutionRolePolicyAWSLambdaDynamoDBExecutionRoleAWSLambdaENIManagementAccessAWSLambdaInvocation-DynamoDBAWSLambdaKinesisExecutionRoleAWSLambdaMSKExecutionRoleAWSLambdaRoleAWSLambdaSQSQueueExecutionRoleAWSLambdaVPCAccessExecutionRoleAWSLambdaManagedEC2ResourceOperatorAWSLambdaServiceRolePolicy策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon适用于 的 托管式策略Amazon Lambda

Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见使用场景提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Services 服务 启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。

有关更多信息,请参阅Amazon《IAM 用户指南》中的托管策略

Amazon 托管式策略:AWSLambda_FullAccess

该策略向所有 Lambda 操作授予完全访问权限。它还向用于开发和维护 Lambda 资源的其他 Amazon 服务授予权限。

您可以将 AWSLambda_FullAccess 策略附加到用户、组和角色。

权限详细信息

该策略包含以下权限:

  • lambda:允许主体完全访问 Lambda。

  • cloudformation:允许主体描述 Amazon CloudFormation 堆栈并列出这些堆栈中的资源。

  • cloudwatch:允许主体列出 Amazon CloudWatch 指标并获取指标数据。

  • ec2:允许主体描述安全组、子网和 VPC。

  • iam:允许主体获取策略、策略版本、角色、角色策略、附加角色策略和角色列表。此策略还允许主体将角色传递给 Lambda。将执行角色分配给函数时,需要使用 PassRole 权限。创建服务相关角色时将使用 CreateServiceLinkedRole 权限。

  • kms:允许主体列出别名和描述卷加密的密钥。

  • logs – 允许主体描述日志流、获取日志事件、筛选日志事件以及启动和停止 Live Tail 会话。

  • states:允许主体描述和列出 Amazon Step Functions 状态机。

  • tag:允许主体根据其标签获取资源。

  • xray:允许主体获取 Amazon X-Ray 跟踪摘要并检索按 ID 指定的跟踪列表。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambda_FullAccess

Amazon 托管式策略:AWSLambda_ReadOnlyAccess

此策略授予对 Lambda 资源以及用于开发和维护 Lambda 资源的其他 Amazon 服务的只读访问权限。

您可以将 AWSLambda_ReadOnlyAccess 策略附加到用户、组和角色。

权限详细信息

该策略包含以下权限:

  • lambda:允许主体获取并列出所有资源。

  • cloudformation:允许主体描述并列出 Amazon CloudFormation 堆栈以及其中的资源。

  • cloudwatch:允许主体列出 Amazon CloudWatch 指标并获取指标数据。

  • ec2:允许主体描述安全组、子网和 VPC。

  • iam:允许主体获取策略、策略版本、角色、角色策略、附加角色策略和角色列表。

  • kms:允许主体列出别名。

  • logs – 允许主体描述日志流、获取日志事件、筛选日志事件以及启动和停止 Live Tail 会话。

  • states:允许主体描述和列出 Amazon Step Functions 状态机。

  • tag:允许主体根据其标签获取资源。

  • xray:允许主体获取 Amazon X-Ray 跟踪摘要并检索按 ID 指定的跟踪列表。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambda_ReadOnlyAccess

Amazon 托管式策略:AWSLambdaBasicExecutionRole

此策略授予将日志上传到 CloudWatch Logs 的权限。

您可以将 AWSLambdaBasicExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaBasicExecutionRole

Amazon 托管策略:AWSLambdaBasicDurableExecutionRolePolicy

该策略提供对 CloudWatch Logs 的写入权限,为 Lambda 持久性函数使用的持久执行 API 提供读/写权限。该策略提供 Lambda 持久性函数所需的基本权限,这些函数使用持久执行 API 来保持函数调用的进度并在调用之间保持状态。

您可以将 AWSLambdaBasicDurableExecutionRolePolicy 策略附加到用户、组和角色。

权限详细信息

该策略包含以下权限:

  • logs:允许主体创建日志组和日志流,并将日志事件写入 CloudWatch Logs。

  • lambda:允许主体检查持久执行状态并检索 Lambda 持久性函数的持久执行状态。

要查看有关策略的更多详细信息(包括 JSON 策略文档的最新版本),请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaBasicDurableExecutionRolePolicy

Amazon 托管式策略:AWSLambdaDynamoDBExecutionRole

此策略授予读取 Amazon DynamoDB Streams 中的记录并写入 CloudWatch Logs 的权限。

您可以将 AWSLambdaDynamoDBExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaDynamoDBExecutionRole

Amazon 托管式策略:AWSLambdaENIManagementAccess

此策略授予创建、描述和删除启用 VPC 的 Lambda 函数所使用的弹性网络接口的权限。

您可以将 AWSLambdaENIManagementAccess 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaENIManagementAccess

Amazon 托管式策略:AWSLambdaInvocation-DynamoDB

此策略授予对 Amazon DynamoDB Streams 的读取权限。

您可以将 AWSLambdaInvocation-DynamoDB 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaInvocation-DynamoDB

Amazon 托管式策略:AWSLambdaKinesisExecutionRole

此策略授予读取 Amazon Kinesis Data Streams 中的事件和写入 CloudWatch Logs 的权限。

您可以将 AWSLambdaKinesisExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaKinesisExecutionRole

Amazon 托管式策略:AWSLambdaMSKExecutionRole

此策略授予读取和访问 Amazon Managed Streaming for Apache Kafka 集群中的记录、管理弹性网络接口及写入 CloudWatch Logs 的权限。

您可以将 AWSLambdaMSKExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaMSKExecutionRole

Amazon 托管式策略:AWSLambdaRole

此策略授予调用 Lambda 函数的权限。

您可以将 AWSLambdaRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaRole

Amazon 托管式策略:AWSLambdaSQSQueueExecutionRole

此策略授予读取和删除 Amazon Simple Queue Service 队列中的消息的权限,以及写入 CloudWatch Logs 的权限。

您可以将 AWSLambdaSQSQueueExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaSQSQueueExecutionRole

Amazon 托管式策略:AWSLambdaVPCAccessExecutionRole

此策略授予管理 Amazon Virtual Private Cloud 中的弹性网络接口和写入 CloudWatch 日志的权限。

您可以将 AWSLambdaVPCAccessExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaVPCAccessExecutionRole

Amazon 托管策略:AWSLambdaManagedEC2ResourceOperator

该策略支持对 Lambda 容量提供程序进行自动化的 Amazon Elastic Compute Cloud 实例管理。它向 Lambda 扩展器服务授予相应的权限,使其能够代表您执行实例生命周期操作。

您可以将 AWSLambdaManagedEC2ResourceOperator 策略附加到用户、组和角色。

权限详细信息

该策略包含以下权限:

  • ec2:RunInstances:允许 Lambda 启动新的 Amazon EC2 实例,条件是 ec2:ManagedResourceOperator 等于 scaler.lambda.amazonaws.com,并且会将 AMI 的使用仅限于 Amazon 拥有的映像。

  • ec2:DescribeInstancesec2:DescribeInstanceStatus:允许 Lambda 监控实例状态并检索实例信息。

  • ec2:CreateTags:允许 Lambda 标记 Amazon EC2 资源以进行管理和识别。

  • ec2:DescribeAvailabilityZones:允许 Lambda 查看可进行实例置放决策的可用区。

  • ec2:DescribeCapacityReservations:允许 Lambda 检查容量预留以实现最佳实例置放。

  • ec2:DescribeInstanceTypesec2:DescribeInstanceTypeOfferings:允许 Lambda 查看可用的实例类型及其产品。

  • ec2:DescribeSubnets:允许 Lambda 检查子网配置以进行网络规划。

  • ec2:DescribeSecurityGroups:允许 Lambda 检索网络接口配置所对应的安全组信息。

  • ec2:CreateNetworkInterface:允许 Lambda 创建网络接口并管理子网和安全组关联。

  • ec2:AttachNetworkInterface:允许 Lambda 将网络接口附加到 Amazon EC2 实例,条件是 ec2:ManagedResourceOperator 等于 scaler.lambda.amazonaws.com

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaManagedEC2ResourceOperator

Amazon 托管策略:AWSLambdaServiceRolePolicy

此策略将附加到名为 AWSServiceRoleForLambda 的服务相关角色,以允许 Lambda 终止作为 Lambda 容量提供程序一部分管理的实例。

权限详细信息

该策略包含以下权限:

  • ec2:TerminateInstances:允许 Lambda 终止 EC2 实例,条件是 ec2:ManagedResourceOperator 等于 scaler.lambda.amazonaws.com。

  • ec2:DescribeInstanceStatusec2:DescribeInstances:允许 Lambda 描述 EC2 实例。

有关此策略的更多信息,请参阅将服务相关角色用于 Lambda

Lambda 对 Amazon 托管式策略的更新

更改 描述 日期

AWSLambdaManagedEC2ResourceOperator:新策略

Lambda 添加了一个新的托管策略,以便为 Lambda 容量提供程序启用自动化 Amazon EC2 实例管理,从而使扩缩器服务能够执行实例生命周期操作。

 2025 年 11 月 30 日

AWSLambdaServiceRolePolicy:新策略

Lambda 为服务相关角色添加了新的托管策略,以允许 Lambda 终止作为 Lambda 容量提供程序一部分管理的实例。

 2025 年 11 月 30 日

AWSLambda_FullAccess :更改

Lambda 更新了 AWSLambda_FullAccess 策略以允许 kms:DescribeKeyiam:CreateServiceLinkedRole 操作。

 2025 年 11 月 30 日

AWSLambdaBasicDurableExecutionRolePolicy:新托管策略

Lambda 发布了一项新的托管策略 AWSLambdaBasicDurableExecutionRolePolicy,该策略提供对 CloudWatch Logs 的写入权限,为 Lambda 持久性函数使用的持久性执行 API 提供读/写权限。

 2025 年 12 月 1 日

AWSLambda_ReadOnlyAccessAWSLambda_FullAccess – 更改

Lambda 更新了 AWSLambda_ReadOnlyAccessAWSLambda_FullAccess 策略以允许 logs:StartLiveTaillogs:StopLiveTail 操作。

 2025 年 3 月 17 日

AWSLambdaVPCAccessExecutionRole – 变更

Lambda 更新了 AWSLambdaVPCAccessExecutionRole 策略以允许操作 ec2:DescribeSubnets

 2024 年 1 月 5 日

AWSLambda_ReadOnlyAccess:变更

Lambda 更新了 AWSLambda_ReadOnlyAccess 策略,以允许主体列出 Amazon CloudFormation 堆栈。

 2023 年 7 月 27 日

Amazon Lambda 开启了跟踪更改

Amazon Lambda 为其 Amazon 托管式策略开启了跟踪更改。

 2023 年 7 月 27 日