适用于 Amazon Lambda 的 Amazon 托管式策略 - Amazon Lambda
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon Lambda 的 Amazon 托管式策略

Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Services 服务 启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon 托管式策略:AWSLambda_FullAccess

该策略向所有 Lambda 操作授予完全访问权限。它还向用于开发和维护 Lambda 资源的其他 Amazon 服务授予权限。

您可以将 AWSLambda_FullAccess 策略附加到用户、组和角色。

权限详细信息

该策略包含以下权限:

  • lambda:允许主体完全访问 Lambda。

  • cloudformation:允许主体描述 Amazon CloudFormation 堆栈并列出这些堆栈中的资源。

  • cloudwatch:允许主体列出 Amazon CloudWatch 指标并获取指标数据。

  • ec2:允许主体描述安全组、子网和 VPC。

  • iam:允许主体获取策略、策略版本、角色、角色策略、附加角色策略和角色列表。此策略还允许主体将角色传递给 Lambda。将执行角色分配给函数时,需要使用 PassRole 权限。

  • kms:允许主体列出别名。

  • logs:允许主体描述 Amazon CloudWatch Logs 日志组。对于与 Lambda 函数关联的日志组,此策略允许主体描述日志流、获取日志事件和筛选日志事件。

  • states:允许主体描述和列出 Amazon Step Functions 状态机。

  • tag:允许主体根据其标签获取资源。

  • xray:允许主体获取 Amazon X-Ray 跟踪摘要并检索按 ID 指定的跟踪列表。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambda_FullAccess

Amazon 托管式策略:AWSLambda_ReadOnlyAccess

此策略授予对 Lambda 资源以及用于开发和维护 Lambda 资源的其他 Amazon 服务的只读访问权限。

您可以将 AWSLambda_ReadOnlyAccess 策略附加到用户、组和角色。

权限详细信息

该策略包含以下权限:

  • lambda:允许主体获取并列出所有资源。

  • cloudformation:允许主体描述并列出 Amazon CloudFormation 堆栈以及其中的资源。

  • cloudwatch:允许主体列出 Amazon CloudWatch 指标并获取指标数据。

  • ec2:允许主体描述安全组、子网和 VPC。

  • iam:允许主体获取策略、策略版本、角色、角色策略、附加角色策略和角色列表。

  • kms:允许主体列出别名。

  • logs:允许主体描述 Amazon CloudWatch Logs 日志组。对于与 Lambda 函数关联的日志组,此策略允许主体描述日志流、获取日志事件和筛选日志事件。

  • states:允许主体描述和列出 Amazon Step Functions 状态机。

  • tag:允许主体根据其标签获取资源。

  • xray:允许主体获取 Amazon X-Ray 跟踪摘要并检索按 ID 指定的跟踪列表。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambda_ReadOnlyAccess

Amazon 托管式策略:AWSLambdaBasicExecutionRole

此策略授予将日志上传到 CloudWatch Logs 的权限。

您可以将 AWSLambdaBasicExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaBasicExecutionRole

Amazon 托管式策略:AWSLambdaDynamoDBExecutionRole

此策略授予读取 Amazon DynamoDB Streams 中的记录并写入 CloudWatch Logs 的权限。

您可以将 AWSLambdaDynamoDBExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaDynamoDBExecutionRole

Amazon 托管式策略:AWSLambdaENIManagementAccess

此策略授予创建、描述和删除启用 VPC 的 Lambda 函数所使用的弹性网络接口的权限。

您可以将 AWSLambdaENIManagementAccess 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaENIManagementAccess

Amazon 托管式策略:AWSLambdaExecute

此策略授予对 Amazon Simple Storage Service 的 PUTGET 访问权限,以及对 CloudWatch Logs 的完全访问权限。

您可以将 AWSLambdaExecute 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaExecute

Amazon 托管式策略:AWSLambdaInvocation-DynamoDB

此策略授予对 Amazon DynamoDB Streams 的读取权限。

您可以将 AWSLambdaInvocation-DynamoDB 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaInvocation-DynamoDB

Amazon 托管式策略:AWSLambdaKinesisExecutionRole

此策略授予读取 Amazon Kinesis Data Streams 中的事件和写入 CloudWatch Logs 的权限。

您可以将 AWSLambdaKinesisExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaKinesisExecutionRole

Amazon 托管式策略:AWSLambdaMSKExecutionRole

此策略授予读取和访问 Amazon Managed Streaming for Apache Kafka 集群中的记录、管理弹性网络接口及写入 CloudWatch Logs 的权限。

您可以将 AWSLambdaMSKExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaMSKExecutionRole

Amazon 托管式策略:AWSLambdaRole

此策略授予调用 Lambda 函数的权限。

您可以将 AWSLambdaRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaRole

Amazon 托管式策略:AWSLambdaSQSQueueExecutionRole

此策略授予读取和删除 Amazon Simple Queue Service 队列中的消息的权限,以及写入 CloudWatch Logs 的权限。

您可以将 AWSLambdaSQSQueueExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaSQSQueueExecutionRole

Amazon 托管式策略:AWSLambdaVPCAccessExecutionRole

此策略授予管理 Amazon Virtual Private Cloud 中的弹性网络接口和写入 CloudWatch 日志的权限。

您可以将 AWSLambdaVPCAccessExecutionRole 策略附加到用户、组和角色。

有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaVPCAccessExecutionRole

Lambda 对 Amazon 托管式策略的更新

更改 描述 日期

AWSLambdaVPCAccessExecutionRole – 变更

Lambda 更新了 AWSLambdaVPCAccessExecutionRole 策略以允许操作 ec2:DescribeSubnets

2024 年 1 月 5 日

AWSLambda_ReadOnlyAccess:变更

Lambda 更新了 AWSLambda_ReadOnlyAccess 策略,以允许主体列出 Amazon CloudFormation 堆栈。

2023 年 7 月 27 日

Amazon Lambda 开启了跟踪更改

Amazon Lambda 为其 Amazon 托管式策略开启了跟踪更改。

2023 年 7 月 27 日