Amazon SAM策略模板 - Amazon Serverless Application Model
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon SAM策略模板

Amazon SAM允许您从策略模板列表中选择来将 Lambda 函数的权限范围限定为您的应用程序使用的资源。

Amazon SAM中的应用程序Amazon Serverless Application Repository不需要任何特殊的客户确认即可从Amazon Serverless Application Repository.

如果要请求添加新的策略模板,请执行以下操作:

  1. 针对 Policy templates.json 源文件提交拉取请求,该源文件位于develop的分支Amazon SAMGitHub 项目。源文件位于策略模板 .json在 GitHub 网站上。

  2. 在 Amazon SAM GitHub 项目中提交问题,其中包括拉取请求的理由和至请求的链接。使用以下链接来提交新问题:Amazon Serverless Application Model:问题.

Syntax

对于您在Amazon SAM模板文件时,必须始终指定包含策略模板占位符值的对象。如果策略模板不需要任何占位符值,则必须指定空对象。

YAML

MyFunction: Type: AWS::Serverless::Function Properties: Policies: - PolicyTemplateName1: # Policy template with placeholder value Key1: Value1 - PolicyTemplateName2: {} # Policy template with no placeholder value

Examples

示例 1:具有占位符值的策略模板

以下示例显示 SQSPollerPolicy 策略模板期待 QueueName 作为资源。这些区域有:Amazon SAM模板将检索”MyQueue“Amazon SQS 队列,您可以在同一应用程序中创建或作为应用程序的参数请求。

MyFunction: Type: 'AWS::Serverless::Function' Properties: CodeUri: ${codeuri} Handler: hello.handler Runtime: python2.7 Policies: - SQSPollerPolicy: QueueName: !GetAtt MyQueue.QueueName

示例 2:不具有占位符值的策略模板

以下示例包含 CloudWatchPutMetricPolicy 策略模板,该模板没有占位符值。

注意

即使没有占位符值,也必须指定一个空对象,否则将导致错误。

MyFunction: Type: 'AWS::Serverless::Function' Properties: CodeUri: ${codeuri} Handler: hello.handler Runtime: python2.7 Policies: - CloudWatchPutMetricPolicy: {}

策略模板表

以下是可用策略模板的表格。

策略模板 描述
SQSPollerPolicy 授予轮询 Amazon Simple Queue Service (Amazon SQS) 队列的权限。
LambdaInvokePolicy 授予调用Amazon Lambda函数、别名或版本。
CloudWatchDescribeAlarmHistoryPolicy 授予描述 CloudWatch 警报历史记录的权限。
CloudWatchPutMetricPolicy 授予向 CloudWatch 发送指标的权限。
EC2DescribePolicy 授予描述 Amazon Elastic Compute Cloud (Amazon EC2) 实例的权限。
DynamoDBCrudPolicy 授予对 Amazon DynamoDB 表的创建、读取、更新和删除权限。
DynamoDBReadPolicy 授予对 DynamoDB 表的只读权限。
DynamoDBWritePolicy 授予对 DynamoDB 表的只写权限。
DynamoDBReconfigurePolicy 授予权限以重新配置 DynamoDB 表。
SESSendBouncePolicy 授予对 SendBounce Simple Email Service (Amazon SES) 身份的权限。
ElasticsearchHttpPostPolicy 授予 Amazon Elasticsearch Service 的 POST 权限。
S3ReadPolicy 授予对 Amazon Simple Service (Amazon S3) 存储桶中的对象进行读取的只读权限。
S3WritePolicy 授予写入 Amazon S3 存储桶的权限。
S3CrudPolicy 授予对 Amazon S3 存储桶中的对象执行操作的创建、读取、更新和删除权限。
AMIDescribePolicy 授予描述 Amazon 系统映像 (AMI) 的权限。
CloudFormationDescribeStacksPolicy 授予描述权限Amazon CloudFormation堆栈。
RekognitionDetectOnlyPolicy 授予检测面部、标签和文本的权限。
RekognitionNoDataAccessPolicy 授予比较并检测面部和标签的权限。
RekognitionReadPolicy 授予列出和搜索面孔的权限。
RekognitionWriteOnlyAccessPolicy 授予创建集合和索引面的权限。
SQSSendMessagePolicy 授予向 Amazon SQS 队列发送消息的权限。
SNSPublishMessagePolicy 授予向 Amazon Simple Service (Amazon SNS) 主题发布消息的权限。
VPCAccessPolicy 提供创建、删除、描述和分离弹性网络接口的访问权限。
DynamoDBStreamReadPolicy 授予描述和读取 DynamoDB 流和记录的权限。
KinesisStreamReadPolicy 授予列出并读取 Amazon Kinesis 流的权限。
SESCrudPolicy 授予发送电子邮件和验证身份的权限。
SNSCrudPolicy 授予创建、发布和订阅 Amazon SNS 主题的权限。
KinesisCrudPolicy 授予创建、发布和删除 Amazon Kinesis 流的权限。
KMSDecryptPolicy 授予使用Amazon Key Management Service(Amazon KMS) 键。
KMSEncryptPolicy 授予使用Amazon Key Management Service(Amazon KMS) 键。
PollyFullAccessPolicy 授予对 Amazon Polly 词典资源的完全访问权限。
S3FullAccessPolicy 授予对 Amazon S3 存储桶中的对象执行操作的完全访问权限。
CodePipelineLambdaExecutionPolicy 授予由 CodePipeline 调用的 Lambda 函数报告作业状态的权限。
ServerlessRepoReadWriteAccessPolicy 授予权限以在Amazon Serverless Application Repository服务。
EC2CopyImagePolicy 授予复制 Amazon EC2 映像的权限。
AWSSecretsManagerRotationPolicy 授予旋转秘密的权限Amazon Secrets Manager.
AWSSecretsManagerGetSecretValuePolicy 授予权限以获取指定的Amazon Secrets Manager密钥。
CodePipelineReadOnlyPolicy 授予读取权限以获取有关 CodePipeline 管道的详细信息。
CloudWatchDashboardPolicy 授予在 CloudWatch 仪表板上运行指标的权限。
RekognitionFacesManagementPolicy 授予在 Amazon Rekognition 请集合中添加、删除和搜索面孔的权限。
RekognitionFacesPolicy 授予比较并检测面部和标签的权限。
RekognitionLabelsPolicy 授予检测对象和审核标签的权限。
DynamoDBBackupFullAccessPolicy 授予对表进行 DynamoDB 按需备份的读取和写入权限。
DynamoDBRestoreFromBackupPolicy 授予从备份还原 DynamoDB 表的权限。
ComprehendBasicAccessPolicy 授予检测实体、关键短语、语言和情绪的权限。
MobileAnalyticsWriteOnlyAccessPolicy 授予对所有应用程序资源放置事件数据的只写权限。
PinpointEndpointAccessPolicy 授予为 Amazon Pinpoint 应用程序获取并更新终端节点的权限。
FirehoseWritePolicy 授予写入 Kinesis Data Firehose 传输流的权限。
FirehoseCrudPolicy 授予创建、写入、更新和删除 Kinesis Data Firehose 传输流的权限。
EKSDescribePolicy 授予描述或列出 Amazon EKS 集群的权限。
CostExplorerReadOnlyPolicy 为账单历史记录的只读 Cost Explorer API 提供只读权限。
OrganizationsListAccountsPolicy 为列出子帐户名称和 ID 提供只读权限。
SESBulkTemplatedCrudPolicy 授予发送电子邮件、模板化电子邮件、模板化的批量电子邮件和验证身份的权限。
SESEmailTemplateCrudPolicy 授予创建、获取、列出、更新和删除 Amazon SES 电子邮件模板的权限。
FilterLogEventsPolicy 授予过滤指定日志组中的 CloudWatch 日志事件的权限。
SSMParameterReadPolicy 授予从 Amazon EC2 Systems Manager (SSM) 参数存储访问参数的权限,以便在此账户中加载机密。
StepFunctionsExecutionPolicy 授予权限以启动 Step Functions 状态机执行。
CodeCommitCrudPolicy 授予在特定 CodeCommit 存储库中创建/读取/更新/删除对象的权限。
CodeCommitReadPolicy 授予在特定的 CodeCommit 存储库中读取对象的权限。
AthenaQueryPolicy 授予执行 Athena 查询的权限。
TextractPolicy 授予对 Amazon Textract 的完全访问权限。
TextractDetectAnalyzePolicy 通过 Amazon Textract 提供检测和分析文档的访问权限。
TextractGetResultPolicy 允许访问从 Amazon Textract 获取检测到和分析的文档。
EventBridgePutEventsPolicy 授予权限以将事件发送到 EventBridge。
ElasticMapReduceModifyInstanceFleetPolicy 授予列出集群内实例队列的详细信息和修改容量的权限。
ElasticMapReduceSetTerminationProtectionPolicy 授予为集群设置终止保护的权限。
ElasticMapReduceModifyInstanceGroupsPolicy 授予列出集群内实例组的详细信息和修改设置的权限。
ElasticMapReduceCancelStepsPolicy 授予权限以取消运行的集群中的一个或多个待处理步骤。
ElasticMapReduceTerminateJobFlowsPolicy 授予权限以关闭集群。
ElasticMapReduceAddJobFlowStepsPolicy 授予权限以将新步骤添加到运行的集群中。
SageMakerCreateEndpointPolicy 授予在 SageMaker 中创建终端节点的权限。
SageMakerCreateEndpointConfigPolicy 授予在 SageMaker 中创建端点配置的权限。
EcsRunTaskPolicy 授予权限以启动任务定义的新任务。
EFSWriteAccessPolicy 授予具有写入权限的 Amazon EFS 文件系统的权限。
Route53ChangeResourceRecordSetsPolicy 授予在 Route 53 中更改资源记录集的权限。

Troubleshooting

SAM CLI 错误:“必须为策略模板 '' 指定有效的参数值 <policy-template-name>”

执行 sam build 时,您会看到以下错误:

"Must specify valid parameter values for policy template '<policy-template-name>'"
            

这意味着在声明没有任何占位符值的策略模板时,您没有传递空对象。

要解决这个问题,请按照以下示例声明策略CloudWatchPutMetricPolicy.

MyFunction: Policies: - CloudWatchPutMetricPolicy: {}