Amazon SAM策略模板 - Amazon Serverless Application Model
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon SAM策略模板

Amazon SAM允许您从策略模板列表中选择来将您的 Lambda 函数的权限范围限定为您的应用程序使用的资源。

Amazon SAM中的应用程序Amazon Serverless Application Repository使用策略模板不需要任何特殊的客户确认即可从Amazon Serverless Application Repository.

如果要请求添加新的策略模板,请执行以下操作:

  1. 针对中的 Policy _templates.json 源文件提交拉取请求develop的分支Amazon SAM GitHub项目。源文件策略_templates.json在GitHub网站。

  2. 在中提交问题Amazon SAM GitHub项目,其中包括拉取请求的理由和到请求的链接。使用此链接提交新问题:Amazon Serverless Application Model: 问题.

语法

对于你在你的Amazon SAM模板文件,您必须始终指定包含策略模板占位符值的对象。如果策略模板不需要任何占位符值,则必须指定空对象。

YAML

MyFunction: Type: AWS::Serverless::Function Properties: Policies: - PolicyTemplateName1: # Policy template with placeholder value Key1: Value1 - PolicyTemplateName2: {} # Policy template with no placeholder value

示例

示例 1:具有占位符值的策略模板

以下示例显示 SQSPollerPolicy 策略模板期待 QueueName 作为资源。这些区域有:Amazon SAM模板检索” 的名称MyQueue“Amazon SQS 队列,您可以在同一应用程序中创建或作为应用程序的参数请求。

MyFunction: Type: 'AWS::Serverless::Function' Properties: CodeUri: ${codeuri} Handler: hello.handler Runtime: python2.7 Policies: - SQSPollerPolicy: QueueName: !GetAtt MyQueue.QueueName

示例 2:没有占位符值的策略模板

以下示例包含 CloudWatchPutMetric策略 策略模板,该模板没有占位符值。

注意

即使没有占位符值,但您必须指定空对象,否则将导致错误。

MyFunction: Type: 'AWS::Serverless::Function' Properties: CodeUri: ${codeuri} Handler: hello.handler Runtime: python2.7 Policies: - CloudWatchPutMetricPolicy: {}

策略模板表

下面是可用策略模板的表格。

策略模板 描述
SQSPollerPolicy 授予权限以轮询 Amazon Simple Queue Service (Amazon SQS) 队列。
LambdaInvoke策略 授予权限以调用Amazon Lambda函数、别名或版本。
CloudWatchDescribeAlarmHistoryPolicy 授予描述的权限CloudWatch警历史记录。
CloudWatchPutMetric策略 授予权限以将指标发送到CloudWatch.
EC2DescribePolicy 授予权限以描述 Amazon Elastic Compute Cloud (Amazon EC2) 实例。
DynamoDBCrudPolicy 授予 Amazon DynamoDB 表的创建、读取、更新和删除权限。
DynamoDBReadPolicy 授予对 DynamoDB 表的只读权限。
DynamoDBWritePolicy 授予 DynamoDB 表的只写权限。
DynamoDBReconfigurePolicy 授予权限以重新配置 DynamoDB 表。
SESSendBounce策略 给予SendBounce授予对 Amazon Simple Email Service (Amazon SES) 身份的权限。
ElasticsearchHttpPostPolicy 授予 POST 权限Amazon OpenSearch Service.
S3ReadPolicy 授予读取 Amazon Simple Storage Service (Amazon S3) 存储桶中的对象的只读权限。
S3WritePolicy 授予写入权限以将对象写入 Amazon S3 存储桶中。
S3CrudPolicy 授予创建、读取、更新和删除权限,以便对 Amazon S3 存储桶中的对象执行操作。
AMIDescribePolicy 授予描述 Amazon 系统映像 (AMI) 的权限。
CloudFormationDescribeStacks策略 授予描述的权限Amazon CloudFormation堆栈。
RekognitionDetectOnlyPolicy 授予权限以检测面部、标签和文本。
RekognitionNoDataAccess策略 授予比较并检测面部和标签的权限。
RekognitionRead策略 授予列出和搜索人脸的权限。
RekognitionWriteOnlyAccess策略 授予创建集合和索引人脸的权限。
SQSSendMessage策略 授予权限以将消息发送到 Amazon SQS 队列。
SNSPublishMessage策略 授予权限以将消息发布到 Amazon Simple Notification Service (Amazon SNS) 主题。
VPCAccessPolicy 授予创建、删除、描述和分离弹性网络接口的权限。
DynamoDBStreamRead策略 授予描述和读取 DynamoDB 流和记录的权限。
KinesisStreamReadPolicy 授予权限以发布并阅读 Amazon Kinesis 流。
SESCrudPolicy 授予发送电子邮件和验证身份的权限。
SNSCrudPolicy 授予创建、发布和订阅 Amazon SNS 主题的权限。
KinesisCrud策略 授予创建、发布和删除 Amazon Kinesis 直播的权限。
自杀DecryptPolicy 授予使用解密的权限Amazon Key Management Service(Amazon KMS键) 键。
自杀EncryptPolicy 授予使用加密的权限Amazon Key Management Service(Amazon KMS键) 键。
PollyFullAccessPolicy 授予对 Amazon Polly 词典资源的完全访问权限。
S3FullAccess策略 授予对 Amazon S3 存储桶中的对象采取操作的完全访问权限。
CodePipelineLambdaExecution策略 授予对由调用的 Lambda 函数的权限CodePipeline以报告任务的状态。
ServerlessRepoReadWriteAccessPolicy 授予权限以在Amazon Serverless Application Repository服务。
EC2CopyImage策略 授予权限以复制 Amazon EC2 映像。
AWSSecretsManagerRotationPolicy 授予在中轮换秘密的权限Amazon Secrets Manager.
AWSSecretsManagerGetSecretValuePolicy 授予权限以获取指定的密钥值Amazon Secrets Manager密钥。
CodePipelineReadOnly策略 授予读取权限以获取有关CodePipeline管道。
CloudWatchDashboardPolicy 授予使用指标进行操作的权限CloudWatch控制面板。
RekognitionFacesManagementPolicy 授予在 Amazon Rekognition 收藏中添加、删除和搜索人脸的权限。
RekognitionFaces策略 授予比较并检测面部和标签的权限。
RekognitionLabels策略 授予检测对象和审核标签的权限。
DynamoDBBackupFullAccessPolicy 授予对表执行 DynamoDB 按需备份的读取和写入权限。
DynamoDBRestoreFromBackupPolicy 授予从备份中还原 DynamoDB 表的权限。
ComprehendBasicAccessPolicy 授予权限以检测实体、关键短语、语言和情绪。
MobileAnalyticsWriteOnlyAccessPolicy 授予对所有应用程序资源放置事件数据的只写权限。
PinpointEndpointAccessPolicy 授予权限以获取并更新 Amazon Pinpoint 应用程序的终端节点。
FirehoseWrite策略 授予写入 Kinesis Data Firehose 传输流的权限。
FirehoseCrud策略 授予权限以创建、写入、更新和删除 Kinesis Data Firehose 传输流。
EKSDescribePolicy 授予描述或列出 Amazon EKS 群集的权限。
CostExplorerReadOnly策略 向只读的 Cost Explorer API 授予账单历史记录的只读权限。
OrganizationsListAccountsPolicy 授予列出子账户名称和 ID 的只读权限。
SESBulkTemplatedCrudPolicy 授予发送电子邮件、模板电子邮件、模板化批量电子邮件和验证身份的权限。
SESEmailTemplateCrudPolicy 授予创建、获取、列出、更新和删除 Amazon SES 电子邮件模板的权限。
FilterLogEventsPolicy 授予过滤权限CloudWatch记录指定日志组的事件。
SSMParameterRead策略 授予从 Amazon EC2 Systems Manager (SSM) 参数存储访问参数的权限,以便在此账户中加载密码。
StepFunctionsExecutionPolicy 授予权限以启动 Step Functions 状态机执行。
CodeCommitCrudPolicy 授予创建/读取/更新/删除特定对象的权限CodeCommit存储库。
CodeCommitReadPolicy 授予读取特定对象的权限CodeCommit存储库。
AthenaQuery策略 授予执行 Athena 查询的权限。
TextractPolicy 授予对 Amazon Textract 的完全访问权限。
TextractDetectAnalyzePolicy 允许使用 Amazon Textract 检测和分析文档。
TextractGetResultPolicy 允许从 Amazon Textract 获取检测到和分析的文档。
EventBridgePutEvents策略 授予权限以将事件发送到EventBridge.
ElasticMapReduceModifyInstanceFleet策略 授予列出集群内实例队列详细信息和修改容量的权限。
ElasticMapReduceSetTerminationProtectionPolicy 授予权限以便为集群设置终止保护。
ElasticMapReduceModifyInstanceGroups策略 授予列出集群内实例组的详细信息和修改设置的权限。
ElasticMapReduceCancelStepsPolicy 授予权限以取消运行的集群中的一个或多个待处理步骤。
ElasticMapReduceTerminateJobFlows策略 授予权限以关闭集群。
ElasticMapReduceAddJobFlowStepsPolicy 授予权限以将新步骤添加到运行的集群中。
SageMakerCreateEndpoint策略 授予权限以在中创建终端节点SageMaker.
SageMakerCreateEndpointConfigPolicy 授予在中创建终端节点配置的权限SageMaker.
EcsRunTaskPolicy 授予权限以启动任务定义的新任务。
EFSWriteAccess策略 授予挂载具有写入权限的 Amazon EFS 文件系统的权限。
Route53ChangeResourceRecordSets策略 授予权限以更改 Route 53 中的资源记录集。
AcmGetCertificatePolicy 授予从中读取证书的权限Amazon Certificate Manager.

故障排除

SAM CLI 错误:“必须为策略模板指定有效的参数值 '<policy-template-name>'”

执行 sam build 时,您会看到以下错误:

"Must specify valid parameter values for policy template '<policy-template-name>'"
            

这意味着在声明没有任何占位符值的策略模板时,您没有传递空对象。

要修复此问题,请按照以下示例声明策略CloudWatchPutMetric策略.

MyFunction: Policies: - CloudWatchPutMetricPolicy: {}