Amazon SAM策略模板

Amazon SAM允许您从策略模板列表中选择来将 Lambda 函数的权限范围限定为您的应用程序使用的资源。

Amazon SAM中的应用程序Amazon Serverless Application Repository不需要任何特殊的客户确认即可从Amazon Serverless Application Repository.

如果要请求添加新的策略模板，请执行以下操作：

针对 Policy templates.json 源文件提交拉取请求，该源文件位于develop的分支Amazon SAMGitHub 项目。源文件位于策略模板 .json在 GitHub 网站上。
在 Amazon SAM GitHub 项目中提交问题，其中包括拉取请求的理由和至请求的链接。使用以下链接来提交新问题：Amazon Serverless Application Model：问题.

Syntax

对于您在Amazon SAM模板文件时，必须始终指定包含策略模板占位符值的对象。如果策略模板不需要任何占位符值，则必须指定空对象。

YAML


MyFunction:
  Type: AWS::Serverless::Function
  Properties:
    Policies:
      - PolicyTemplateName1:        # Policy template with placeholder value
          Key1: Value1
      - PolicyTemplateName2: {}     # Policy template with no placeholder value

Examples

示例 1：具有占位符值的策略模板

以下示例显示 SQSPollerPolicy 策略模板期待 QueueName 作为资源。这些区域有：Amazon SAM模板将检索”MyQueue“Amazon SQS 队列，您可以在同一应用程序中创建或作为应用程序的参数请求。


MyFunction:
  Type: 'AWS::Serverless::Function'
  Properties:
    CodeUri: ${codeuri}
    Handler: hello.handler
    Runtime: python2.7
    Policies:
      - SQSPollerPolicy:
          QueueName:
            !GetAtt MyQueue.QueueName

示例 2：不具有占位符值的策略模板

以下示例包含 CloudWatchPutMetricPolicy 策略模板，该模板没有占位符值。

注意

即使没有占位符值，也必须指定一个空对象，否则将导致错误。


MyFunction:
  Type: 'AWS::Serverless::Function'
  Properties:
    CodeUri: ${codeuri}
    Handler: hello.handler
    Runtime: python2.7
    Policies:
      - CloudWatchPutMetricPolicy: {}

策略模板表

以下是可用策略模板的表格。

策略模板	描述
SQSPollerPolicy	授予轮询 Amazon Simple Queue Service (Amazon SQS) 队列的权限。
LambdaInvokePolicy	授予调用Amazon Lambda函数、别名或版本。
CloudWatchDescribeAlarmHistoryPolicy	授予描述 CloudWatch 警报历史记录的权限。
CloudWatchPutMetricPolicy	授予向 CloudWatch 发送指标的权限。
EC2DescribePolicy	授予描述 Amazon Elastic Compute Cloud (Amazon EC2) 实例的权限。
DynamoDBCrudPolicy	授予对 Amazon DynamoDB 表的创建、读取、更新和删除权限。
DynamoDBReadPolicy	授予对 DynamoDB 表的只读权限。
DynamoDBWritePolicy	授予对 DynamoDB 表的只写权限。
DynamoDBReconfigurePolicy	授予权限以重新配置 DynamoDB 表。
SESSendBouncePolicy	授予对 SendBounce Simple Email Service (Amazon SES) 身份的权限。
ElasticsearchHttpPostPolicy	授予 Amazon Elasticsearch Service 的 POST 权限。
S3ReadPolicy	授予对 Amazon Simple Service (Amazon S3) 存储桶中的对象进行读取的只读权限。
S3WritePolicy	授予写入 Amazon S3 存储桶的权限。
S3CrudPolicy	授予对 Amazon S3 存储桶中的对象执行操作的创建、读取、更新和删除权限。
AMIDescribePolicy	授予描述 Amazon 系统映像 (AMI) 的权限。
CloudFormationDescribeStacksPolicy	授予描述权限Amazon CloudFormation堆栈。
RekognitionDetectOnlyPolicy	授予检测面部、标签和文本的权限。
RekognitionNoDataAccessPolicy	授予比较并检测面部和标签的权限。
RekognitionReadPolicy	授予列出和搜索面孔的权限。
RekognitionWriteOnlyAccessPolicy	授予创建集合和索引面的权限。
SQSSendMessagePolicy	授予向 Amazon SQS 队列发送消息的权限。
SNSPublishMessagePolicy	授予向 Amazon Simple Service (Amazon SNS) 主题发布消息的权限。
VPCAccessPolicy	提供创建、删除、描述和分离弹性网络接口的访问权限。
DynamoDBStreamReadPolicy	授予描述和读取 DynamoDB 流和记录的权限。
KinesisStreamReadPolicy	授予列出并读取 Amazon Kinesis 流的权限。
SESCrudPolicy	授予发送电子邮件和验证身份的权限。
SNSCrudPolicy	授予创建、发布和订阅 Amazon SNS 主题的权限。
KinesisCrudPolicy	授予创建、发布和删除 Amazon Kinesis 流的权限。
KMSDecryptPolicy	授予使用Amazon Key Management Service(Amazon KMS) 键。
KMSEncryptPolicy	授予使用Amazon Key Management Service(Amazon KMS) 键。
PollyFullAccessPolicy	授予对 Amazon Polly 词典资源的完全访问权限。
S3FullAccessPolicy	授予对 Amazon S3 存储桶中的对象执行操作的完全访问权限。
CodePipelineLambdaExecutionPolicy	授予由 CodePipeline 调用的 Lambda 函数报告作业状态的权限。
ServerlessRepoReadWriteAccessPolicy	授予权限以在Amazon Serverless Application Repository服务。
EC2CopyImagePolicy	授予复制 Amazon EC2 映像的权限。
AWSSecretsManagerRotationPolicy	授予旋转秘密的权限Amazon Secrets Manager.
AWSSecretsManagerGetSecretValuePolicy	授予权限以获取指定的Amazon Secrets Manager密钥。
CodePipelineReadOnlyPolicy	授予读取权限以获取有关 CodePipeline 管道的详细信息。
CloudWatchDashboardPolicy	授予在 CloudWatch 仪表板上运行指标的权限。
RekognitionFacesManagementPolicy	授予在 Amazon Rekognition 请集合中添加、删除和搜索面孔的权限。
RekognitionFacesPolicy	授予比较并检测面部和标签的权限。
RekognitionLabelsPolicy	授予检测对象和审核标签的权限。
DynamoDBBackupFullAccessPolicy	授予对表进行 DynamoDB 按需备份的读取和写入权限。
DynamoDBRestoreFromBackupPolicy	授予从备份还原 DynamoDB 表的权限。
ComprehendBasicAccessPolicy	授予检测实体、关键短语、语言和情绪的权限。
MobileAnalyticsWriteOnlyAccessPolicy	授予对所有应用程序资源放置事件数据的只写权限。
PinpointEndpointAccessPolicy	授予为 Amazon Pinpoint 应用程序获取并更新终端节点的权限。
FirehoseWritePolicy	授予写入 Kinesis Data Firehose 传输流的权限。
FirehoseCrudPolicy	授予创建、写入、更新和删除 Kinesis Data Firehose 传输流的权限。
EKSDescribePolicy	授予描述或列出 Amazon EKS 集群的权限。
CostExplorerReadOnlyPolicy	为账单历史记录的只读 Cost Explorer API 提供只读权限。
OrganizationsListAccountsPolicy	为列出子帐户名称和 ID 提供只读权限。
SESBulkTemplatedCrudPolicy	授予发送电子邮件、模板化电子邮件、模板化的批量电子邮件和验证身份的权限。
SESEmailTemplateCrudPolicy	授予创建、获取、列出、更新和删除 Amazon SES 电子邮件模板的权限。
FilterLogEventsPolicy	授予过滤指定日志组中的 CloudWatch 日志事件的权限。
SSMParameterReadPolicy	授予从 Amazon EC2 Systems Manager (SSM) 参数存储访问参数的权限，以便在此账户中加载机密。
StepFunctionsExecutionPolicy	授予权限以启动 Step Functions 状态机执行。
CodeCommitCrudPolicy	授予在特定 CodeCommit 存储库中创建/读取/更新/删除对象的权限。
CodeCommitReadPolicy	授予在特定的 CodeCommit 存储库中读取对象的权限。
AthenaQueryPolicy	授予执行 Athena 查询的权限。
TextractPolicy	授予对 Amazon Textract 的完全访问权限。
TextractDetectAnalyzePolicy	通过 Amazon Textract 提供检测和分析文档的访问权限。
TextractGetResultPolicy	允许访问从 Amazon Textract 获取检测到和分析的文档。
EventBridgePutEventsPolicy	授予权限以将事件发送到 EventBridge。
ElasticMapReduceModifyInstanceFleetPolicy	授予列出集群内实例队列的详细信息和修改容量的权限。
ElasticMapReduceSetTerminationProtectionPolicy	授予为集群设置终止保护的权限。
ElasticMapReduceModifyInstanceGroupsPolicy	授予列出集群内实例组的详细信息和修改设置的权限。
ElasticMapReduceCancelStepsPolicy	授予权限以取消运行的集群中的一个或多个待处理步骤。
ElasticMapReduceTerminateJobFlowsPolicy	授予权限以关闭集群。
ElasticMapReduceAddJobFlowStepsPolicy	授予权限以将新步骤添加到运行的集群中。
SageMakerCreateEndpointPolicy	授予在 SageMaker 中创建终端节点的权限。
SageMakerCreateEndpointConfigPolicy	授予在 SageMaker 中创建端点配置的权限。
EcsRunTaskPolicy	授予权限以启动任务定义的新任务。
EFSWriteAccessPolicy	授予具有写入权限的 Amazon EFS 文件系统的权限。
Route53ChangeResourceRecordSetsPolicy	授予在 Route 53 中更改资源记录集的权限。

Troubleshooting

SAM CLI 错误：“必须为策略模板 '' 指定有效的参数值 <policy-template-name>”

执行 sam build 时，您会看到以下错误：

"Must specify valid parameter values for policy template '<policy-template-name>'"

这意味着在声明没有任何占位符值的策略模板时，您没有传递空对象。

要解决这个问题，请按照以下示例声明策略CloudWatchPutMetricPolicy.


MyFunction:
  Policies:
    - CloudWatchPutMetricPolicy: {}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Amazon SAMCLI 配置文件

策略模板列表