# 在执行角色中使用 Amazon 托管策略 以下 Amazon 托管式策略提供使用 Lambda 函数所需的权限。 | 更改 | 描述 | 日期 | | --- | --- | --- | | **[AWSLambdaMSKExecutionRole](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaMSKExecutionRole)**:Lambda 将 [kafka:DescribeClusterV2](https://docs.amazonaws.cn/MSK/2.0/APIReference/v2-clusters-clusterarn.html#v2-clusters-clusterarnget) 权限添加到了此政策。 | `AWSLambdaMSKExecutionRole` 授予读取和访问 Amazon Managed Streaming for Apache Kafka(Amazon MSK)集群中的记录、管理网络接口 (ENI) 并写入到 CloudWatch Logs 的权限。 | 2022 年 6 月 17 日 | | **[ AWSLambdaBasicExecutionRole](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole)** – Lambda 开始跟踪对此策略所做的更改。 | `AWSLambdaBasicExecutionRole` 授予将日志上传至 CloudWatch 的权限。 | 2022 年 2 月 14 日 | | **[ AWSLambdaDynamoDBExecutionRole](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole)** – Lambda 开始跟踪对此策略所做的更改。 | `AWSLambdaDynamoDBExecutionRole` 授予读取 Amazon DynamoDB 流中的记录并写入到 CloudWatch Logs 的权限。 | 2022 年 2 月 14 日 | | **[ AWSLambdaKinesisExecutionRole](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaKinesisExecutionRole)** – Lambda 开始跟踪对此策略所做的更改。 | `AWSLambdaKinesisExecutionRole` 授予读取 Amazon Kinesis 数据流中的事件并写入到 CloudWatch Logs 的权限。 | 2022 年 2 月 14 日 | | **[ AWSLambdaMSKExecutionRole](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaMSKExecutionRole)** – Lambda 开始跟踪对此策略所做的更改。 | `AWSLambdaMSKExecutionRole` 授予读取和访问 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 集群中的记录、管理网络接口 (ENI) 并写入到 CloudWatch Logs 的权限。 | 2022 年 2 月 14 日 | | **[ AWSLambdaSQSQueueExecutionRole](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaSQSQueueExecutionRole)** – Lambda 开始跟踪对此策略所做的更改。 | `AWSLambdaSQSQueueExecutionRole` 授予读取 Amazon Simple Queue Service (Amazon SQS) 队列中的消息并写入到 CloudWatch Logs 的权限。 | 2022 年 2 月 14 日 | | **[ AWSLambdaVPCAccessExecutionRole](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole)** – Lambda 开始跟踪对此策略所做的更改。 | `AWSLambdaVPCAccessExecutionRole` 授予管理 Amazon VPC 中的 ENI 并写入到 CloudWatch Logs 的权限。 | 2022 年 2 月 14 日 | | **[ AWSXRayDaemonWriteAccess](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/AWSXRayDaemonWriteAccess)** – Lambda 开始跟踪对此策略所做的更改。 | `AWSXRayDaemonWriteAccess` 授予将跟踪数据上传到 X-Ray 的权限。 | 2022 年 2 月 14 日 | | **[ CloudWatchLambdaInsightsExecutionRolePolicy](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLambdaInsightsExecutionRolePolicy)** – Lambda 开始跟踪对此策略所做的更改。 | `CloudWatchLambdaInsightsExecutionRolePolicy` 授予将运行时指标写入到 CloudWatch Lambda Insights 的权限。 | 2022 年 2 月 14 日 | | **[ AmazonS3ObjectLambdaExecutionRolePolicy](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonS3ObjectLambdaExecutionRolePolicy)** – Lambda 开始跟踪对此策略所做的更改。 | `AmazonS3ObjectLambdaExecutionRolePolicy` 授予与 Amazon Simple Storage Service (Amazon S3) 对象 Lambda 交互并写入到 CloudWatch Logs 的权限。 | 2022 年 2 月 14 日 | 对于某些功能,Lambda 控制台会尝试在客户管理型策略中向执行角色添加缺失的权限。这些策略可能会变得很多。为避免创建额外的策略,在启用功能之前,请将相关的 Amazon 托管策略添加到您的执行角色。 当您使用[事件源映射](invocation-eventsourcemapping.md)调用您的函数时,Lambda 将使用执行角色读取事件数据。例如,Kinesis 的事件源映射从数据流读取事件并将事件成批发送到您的函数。 当服务在您的账户中担任角色时,您的角色信任策略中可以包含 `aws:SourceAccount` 和 `aws:SourceArn` 全局条件上下文密钥,以将对角色的访问限制为仅由预期资源生成的请求。有关更多信息,请参阅[防止 Amazon Security Token Service 跨服务混淆代理](https://docs.amazonaws.cn/IAM/latest/UserGuide/confused-deputy.html#cross-service-confused-deputy-prevention)。 除了Amazon托管式策略,Lambda 控制台还提供模板,以创建包含用于额外使用案例的权限的自定义策略。当您在 Lambda 控制台中创建函数时,可以选择利用来自一个或多个模板的权限创建新的执行角色。当您从蓝图创建函数,或者配置需要访问其他服务的选项时,也会自动应用这些模板。示例模板可从本指南的 [GitHub 存储库](https://github.com/awsdocs/aws-lambda-developer-guide/tree/master/iam-policies)中找到。