适用于 Amazon Lambda 的 Amazon 托管式策略
Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。
您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Services 服务 启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
主题
- Amazon 托管式策略:AWSLambda_FullAccess
- Amazon 托管式策略:AWSLambda_ReadOnlyAccess
- Amazon 托管式策略:AWSLambdaBasicExecutionRole
- Amazon 托管式策略:AWSLambdaDynamoDBExecutionRole
- Amazon 托管式策略:AWSLambdaENIManagementAccess
- Amazon 托管式策略:AWSLambdaExecute
- Amazon 托管式策略:AWSLambdaInvocation-DynamoDB
- Amazon 托管式策略:AWSLambdaKinesisExecutionRole
- Amazon 托管式策略:AWSLambdaMSKExecutionRole
- Amazon 托管式策略:AWSLambdaRole
- Amazon 托管式策略:AWSLambdaSQSQueueExecutionRole
- Amazon 托管式策略:AWSLambdaVPCAccessExecutionRole
- Lambda 对 Amazon 托管式策略的更新
Amazon 托管式策略:AWSLambda_FullAccess
该策略向所有 Lambda 操作授予完全访问权限。它还向用于开发和维护 Lambda 资源的其他 Amazon 服务授予权限。
您可以将 AWSLambda_FullAccess
策略附加到用户、组和角色。
权限详细信息
该策略包含以下权限:
-
lambda
:允许主体完全访问 Lambda。 -
cloudformation
:允许主体描述 Amazon CloudFormation 堆栈并列出这些堆栈中的资源。 -
cloudwatch
:允许主体列出 Amazon CloudWatch 指标并获取指标数据。 -
ec2
:允许主体描述安全组、子网和 VPC。 -
iam
:允许主体获取策略、策略版本、角色、角色策略、附加角色策略和角色列表。此策略还允许主体将角色传递给 Lambda。将执行角色分配给函数时,需要使用PassRole
权限。 -
kms
:允许主体列出别名。 -
logs
:允许主体描述 Amazon CloudWatch Logs 日志组。对于与 Lambda 函数关联的日志组,此策略允许主体描述日志流、获取日志事件和筛选日志事件。 -
states
:允许主体描述和列出 Amazon Step Functions 状态机。 -
tag
:允许主体根据其标签获取资源。 -
xray
:允许主体获取 Amazon X-Ray 跟踪摘要并检索按 ID 指定的跟踪列表。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambda_FullAccess。
Amazon 托管式策略:AWSLambda_ReadOnlyAccess
此策略授予对 Lambda 资源以及用于开发和维护 Lambda 资源的其他 Amazon 服务的只读访问权限。
您可以将 AWSLambda_ReadOnlyAccess
策略附加到用户、组和角色。
权限详细信息
该策略包含以下权限:
-
lambda
:允许主体获取并列出所有资源。 -
cloudformation
:允许主体描述并列出 Amazon CloudFormation 堆栈以及其中的资源。 -
cloudwatch
:允许主体列出 Amazon CloudWatch 指标并获取指标数据。 -
ec2
:允许主体描述安全组、子网和 VPC。 -
iam
:允许主体获取策略、策略版本、角色、角色策略、附加角色策略和角色列表。 -
kms
:允许主体列出别名。 -
logs
:允许主体描述 Amazon CloudWatch Logs 日志组。对于与 Lambda 函数关联的日志组,此策略允许主体描述日志流、获取日志事件和筛选日志事件。 -
states
:允许主体描述和列出 Amazon Step Functions 状态机。 -
tag
:允许主体根据其标签获取资源。 -
xray
:允许主体获取 Amazon X-Ray 跟踪摘要并检索按 ID 指定的跟踪列表。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambda_ReadOnlyAccess。
Amazon 托管式策略:AWSLambdaBasicExecutionRole
此策略授予将日志上传到 CloudWatch Logs 的权限。
您可以将 AWSLambdaBasicExecutionRole
策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaBasicExecutionRole。
Amazon 托管式策略:AWSLambdaDynamoDBExecutionRole
此策略授予读取 Amazon DynamoDB Streams 中的记录并写入 CloudWatch Logs 的权限。
您可以将 AWSLambdaDynamoDBExecutionRole
策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaDynamoDBExecutionRole。
Amazon 托管式策略:AWSLambdaENIManagementAccess
此策略授予创建、描述和删除启用 VPC 的 Lambda 函数所使用的弹性网络接口的权限。
您可以将 AWSLambdaENIManagementAccess
策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaENIManagementAccess。
Amazon 托管式策略:AWSLambdaExecute
此策略授予对 Amazon Simple Storage Service 的 PUT
和 GET
访问权限,以及对 CloudWatch Logs 的完全访问权限。
您可以将 AWSLambdaExecute
策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaExecute。
Amazon 托管式策略:AWSLambdaInvocation-DynamoDB
此策略授予对 Amazon DynamoDB Streams 的读取权限。
您可以将 AWSLambdaInvocation-DynamoDB
策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaInvocation-DynamoDB。
Amazon 托管式策略:AWSLambdaKinesisExecutionRole
此策略授予读取 Amazon Kinesis Data Streams 中的事件和写入 CloudWatch Logs 的权限。
您可以将 AWSLambdaKinesisExecutionRole
策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaKinesisExecutionRole。
Amazon 托管式策略:AWSLambdaMSKExecutionRole
此策略授予读取和访问 Amazon Managed Streaming for Apache Kafka 集群中的记录、管理弹性网络接口及写入 CloudWatch Logs 的权限。
您可以将 AWSLambdaMSKExecutionRole
策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaMSKExecutionRole。
Amazon 托管式策略:AWSLambdaRole
此策略授予调用 Lambda 函数的权限。
您可以将 AWSLambdaRole
策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaRole。
Amazon 托管式策略:AWSLambdaSQSQueueExecutionRole
此策略授予读取和删除 Amazon Simple Queue Service 队列中的消息的权限,以及写入 CloudWatch Logs 的权限。
您可以将 AWSLambdaSQSQueueExecutionRole
策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaSQSQueueExecutionRole。
Amazon 托管式策略:AWSLambdaVPCAccessExecutionRole
此策略授予管理 Amazon Virtual Private Cloud 中的弹性网络接口和写入 CloudWatch 日志的权限。
您可以将 AWSLambdaVPCAccessExecutionRole
策略附加到用户、组和角色。
有关此策略的更多信息,包括 JSON 策略文档和策略版本,请参阅《Amazon Managed Policy Reference Guide》中的 AWSLambdaVPCAccessExecutionRole。
Lambda 对 Amazon 托管式策略的更新
更改 | 描述 | 日期 |
---|---|---|
Lambda 更新了 |
2024 年 1 月 5 日 | |
Lambda 更新了 |
2023 年 7 月 27 日 | |
Amazon Lambda 开启了跟踪更改 |
Amazon Lambda 为其 Amazon 托管式策略开启了跟踪更改。 |
2023 年 7 月 27 日 |