在执行角色中使用 Amazon 托管策略 - Amazon Lambda
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在执行角色中使用 Amazon 托管策略

以下 Amazon 托管式策略提供使用 Lambda 函数所需的权限。

更改 描述 日期

AWSLambdaMSKExecutionRole:Lambda 将 kafka:DescribeClusterV2 权限添加到了此政策。

AWSLambdaMSKExecutionRole 授予读取和访问 Amazon Managed Streaming for Apache Kafka(Amazon MSK)集群中的记录、管理网络接口 (ENI) 并写入到 CloudWatch Logs 的权限。

2022 年 6 月 17 日

AWSLambdaBasicExecutionRole – Lambda 开始跟踪对此策略所做的更改。

AWSLambdaBasicExecutionRole 授予将日志上传至 CloudWatch 的权限。

2022 年 2 月 14 日

AWSLambdaDynamoDBExecutionRole – Lambda 开始跟踪对此策略所做的更改。

AWSLambdaDynamoDBExecutionRole 授予读取 Amazon DynamoDB 流中的记录并写入到 CloudWatch Logs 的权限。

2022 年 2 月 14 日

AWSLambdaKinesisExecutionRole – Lambda 开始跟踪对此策略所做的更改。

AWSLambdaKinesisExecutionRole 授予读取 Amazon Kinesis 数据流中的事件并写入到 CloudWatch Logs 的权限。

2022 年 2 月 14 日

AWSLambdaMSKExecutionRole – Lambda 开始跟踪对此策略所做的更改。

AWSLambdaMSKExecutionRole 授予读取和访问 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 集群中的记录、管理网络接口 (ENI) 并写入到 CloudWatch Logs 的权限。

2022 年 2 月 14 日

AWSLambdaSQSQueueExecutionRole – Lambda 开始跟踪对此策略所做的更改。

AWSLambdaSQSQueueExecutionRole 授予读取 Amazon Simple Queue Service (Amazon SQS) 队列中的消息并写入到 CloudWatch Logs 的权限。

2022 年 2 月 14 日

AWSLambdaVPCAccessExecutionRole – Lambda 开始跟踪对此策略所做的更改。

AWSLambdaVPCAccessExecutionRole 授予管理 Amazon VPC 中的 ENI 并写入到 CloudWatch Logs 的权限。

2022 年 2 月 14 日

AWSXRayDaemonWriteAccess – Lambda 开始跟踪对此策略所做的更改。

AWSXRayDaemonWriteAccess 授予将跟踪数据上传到 X-Ray 的权限。

2022 年 2 月 14 日

CloudWatchLambdaInsightsExecutionRolePolicy – Lambda 开始跟踪对此策略所做的更改。

CloudWatchLambdaInsightsExecutionRolePolicy 授予将运行时指标写入到 CloudWatch Lambda Insights 的权限。

2022 年 2 月 14 日

AmazonS3ObjectLambdaExecutionRolePolicy – Lambda 开始跟踪对此策略所做的更改。

AmazonS3ObjectLambdaExecutionRolePolicy 授予与 Amazon Simple Storage Service (Amazon S3) 对象 Lambda 交互并写入到 CloudWatch Logs 的权限。

2022 年 2 月 14 日

对于某些功能,Lambda 控制台会尝试在客户管理型策略中向执行角色添加缺失的权限。这些策略可能会变得很多。为避免创建额外的策略,在启用功能之前,请将相关的 Amazon 托管策略添加到您的执行角色。

当您使用事件源映射调用您的函数时,Lambda 将使用执行角色读取事件数据。例如,Kinesis 的事件源映射从数据流读取事件并将事件成批发送到您的函数。

当服务在您的账户中担任角色时,您的角色信任策略中可以包含 aws:SourceAccountaws:SourceArn 全局条件上下文密钥,以将对角色的访问限制为仅由预期资源生成的请求。有关更多信息,请参阅防止 Amazon Security Token Service 跨服务混淆代理

除了Amazon托管式策略,Lambda 控制台还提供模板,以创建包含用于额外使用案例的权限的自定义策略。当您在 Lambda 控制台中创建函数时,可以选择利用来自一个或多个模板的权限创建新的执行角色。当您从蓝图创建函数,或者配置需要访问其他服务的选项时,也会自动应用这些模板。示例模板可从本指南的 GitHub 存储库中找到。