本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon SAM策略模板
Amazon SAM允许您从策略模板列表中选择来将您的 Lambda 函数的权限范围限定为您的应用程序使用的资源。
Amazon SAM中的应用程序Amazon Serverless Application Repository使用策略模板不需要任何特殊的客户确认即可从Amazon Serverless Application Repository.
如果要请求添加新的策略模板,请执行以下操作:
-
针对中的 Policy _templates.json 源文件提交拉取请求
develop的分支Amazon SAM GitHub项目。源文件策略_templates.json在GitHub网站。 -
在中提交问题Amazon SAM GitHub项目,其中包括拉取请求的理由和到请求的链接。使用此链接提交新问题:Amazon Serverless Application Model: 问题
.
语法
对于你在你的Amazon SAM模板文件,您必须始终指定包含策略模板占位符值的对象。如果策略模板不需要任何占位符值,则必须指定空对象。
YAML
MyFunction: Type: AWS::Serverless::Function Properties: Policies: - PolicyTemplateName1: # Policy template with placeholder value Key1: Value1 - PolicyTemplateName2: {} # Policy template with no placeholder value
示例
示例 1:具有占位符值的策略模板
以下示例显示 SQSPollerPolicy 策略模板期待 QueueName 作为资源。这些区域有:Amazon SAM模板检索” 的名称MyQueue“Amazon SQS 队列,您可以在同一应用程序中创建或作为应用程序的参数请求。
MyFunction: Type: 'AWS::Serverless::Function' Properties: CodeUri: ${codeuri} Handler: hello.handler Runtime: python2.7 Policies: - SQSPollerPolicy: QueueName: !GetAtt MyQueue.QueueName
示例 2:没有占位符值的策略模板
以下示例包含 CloudWatchPutMetric策略 策略模板,该模板没有占位符值。
即使没有占位符值,但您必须指定空对象,否则将导致错误。
MyFunction: Type: 'AWS::Serverless::Function' Properties: CodeUri: ${codeuri} Handler: hello.handler Runtime: python2.7 Policies: - CloudWatchPutMetricPolicy: {}
策略模板表
下面是可用策略模板的表格。
| 策略模板 | 描述 |
|---|---|
| SQSPollerPolicy | 授予权限以轮询 Amazon Simple Queue Service (Amazon SQS) 队列。 |
| LambdaInvoke策略 | 授予权限以调用Amazon Lambda函数、别名或版本。 |
| CloudWatchDescribeAlarmHistoryPolicy | 授予描述的权限CloudWatch警历史记录。 |
| CloudWatchPutMetric策略 | 授予权限以将指标发送到CloudWatch. |
| EC2DescribePolicy | 授予权限以描述 Amazon Elastic Compute Cloud (Amazon EC2) 实例。 |
| DynamoDBCrudPolicy | 授予 Amazon DynamoDB 表的创建、读取、更新和删除权限。 |
| DynamoDBReadPolicy | 授予对 DynamoDB 表的只读权限。 |
| DynamoDBWritePolicy | 授予 DynamoDB 表的只写权限。 |
| DynamoDBReconfigurePolicy | 授予权限以重新配置 DynamoDB 表。 |
| SESSendBounce策略 | 给予SendBounce授予对 Amazon Simple Email Service (Amazon SES) 身份的权限。 |
| ElasticsearchHttpPostPolicy | 授予 POST 权限Amazon OpenSearch Service. |
| S3ReadPolicy | 授予读取 Amazon Simple Storage Service (Amazon S3) 存储桶中的对象的只读权限。 |
| S3WritePolicy | 授予写入权限以将对象写入 Amazon S3 存储桶中。 |
| S3CrudPolicy | 授予创建、读取、更新和删除权限,以便对 Amazon S3 存储桶中的对象执行操作。 |
| AMIDescribePolicy | 授予描述 Amazon 系统映像 (AMI) 的权限。 |
| CloudFormationDescribeStacks策略 | 授予描述的权限Amazon CloudFormation堆栈。 |
| RekognitionDetectOnlyPolicy | 授予权限以检测面部、标签和文本。 |
| RekognitionNoDataAccess策略 | 授予比较并检测面部和标签的权限。 |
| RekognitionRead策略 | 授予列出和搜索人脸的权限。 |
| RekognitionWriteOnlyAccess策略 | 授予创建集合和索引人脸的权限。 |
| SQSSendMessage策略 | 授予权限以将消息发送到 Amazon SQS 队列。 |
| SNSPublishMessage策略 | 授予权限以将消息发布到 Amazon Simple Notification Service (Amazon SNS) 主题。 |
| VPCAccessPolicy | 授予创建、删除、描述和分离弹性网络接口的权限。 |
| DynamoDBStreamRead策略 | 授予描述和读取 DynamoDB 流和记录的权限。 |
| KinesisStreamReadPolicy | 授予权限以发布并阅读 Amazon Kinesis 流。 |
| SESCrudPolicy | 授予发送电子邮件和验证身份的权限。 |
| SNSCrudPolicy | 授予创建、发布和订阅 Amazon SNS 主题的权限。 |
| KinesisCrud策略 | 授予创建、发布和删除 Amazon Kinesis 直播的权限。 |
| 自杀DecryptPolicy | 授予使用解密的权限Amazon Key Management Service(Amazon KMS键) 键。 |
| 自杀EncryptPolicy | 授予使用加密的权限Amazon Key Management Service(Amazon KMS键) 键。 |
| PollyFullAccessPolicy | 授予对 Amazon Polly 词典资源的完全访问权限。 |
| S3FullAccess策略 | 授予对 Amazon S3 存储桶中的对象采取操作的完全访问权限。 |
| CodePipelineLambdaExecution策略 | 授予对由调用的 Lambda 函数的权限CodePipeline以报告任务的状态。 |
| ServerlessRepoReadWriteAccessPolicy | 授予权限以在Amazon Serverless Application Repository服务。 |
| EC2CopyImage策略 | 授予权限以复制 Amazon EC2 映像。 |
| AWSSecretsManagerRotationPolicy | 授予在中轮换秘密的权限Amazon Secrets Manager. |
| AWSSecretsManagerGetSecretValuePolicy | 授予权限以获取指定的密钥值Amazon Secrets Manager密钥。 |
| CodePipelineReadOnly策略 | 授予读取权限以获取有关CodePipeline管道。 |
| CloudWatchDashboardPolicy | 授予使用指标进行操作的权限CloudWatch控制面板。 |
| RekognitionFacesManagementPolicy | 授予在 Amazon Rekognition 收藏中添加、删除和搜索人脸的权限。 |
| RekognitionFaces策略 | 授予比较并检测面部和标签的权限。 |
| RekognitionLabels策略 | 授予检测对象和审核标签的权限。 |
| DynamoDBBackupFullAccessPolicy | 授予对表执行 DynamoDB 按需备份的读取和写入权限。 |
| DynamoDBRestoreFromBackupPolicy | 授予从备份中还原 DynamoDB 表的权限。 |
| ComprehendBasicAccessPolicy | 授予权限以检测实体、关键短语、语言和情绪。 |
| MobileAnalyticsWriteOnlyAccessPolicy | 授予对所有应用程序资源放置事件数据的只写权限。 |
| PinpointEndpointAccessPolicy | 授予权限以获取并更新 Amazon Pinpoint 应用程序的终端节点。 |
| FirehoseWrite策略 | 授予写入 Kinesis Data Firehose 传输流的权限。 |
| FirehoseCrud策略 | 授予权限以创建、写入、更新和删除 Kinesis Data Firehose 传输流。 |
| EKSDescribePolicy | 授予描述或列出 Amazon EKS 群集的权限。 |
| CostExplorerReadOnly策略 | 向只读的 Cost Explorer API 授予账单历史记录的只读权限。 |
| OrganizationsListAccountsPolicy | 授予列出子账户名称和 ID 的只读权限。 |
| SESBulkTemplatedCrudPolicy | 授予发送电子邮件、模板电子邮件、模板化批量电子邮件和验证身份的权限。 |
| SESEmailTemplateCrudPolicy | 授予创建、获取、列出、更新和删除 Amazon SES 电子邮件模板的权限。 |
| FilterLogEventsPolicy | 授予过滤权限CloudWatch记录指定日志组的事件。 |
| SSMParameterRead策略 | 授予从 Amazon EC2 Systems Manager (SSM) 参数存储访问参数的权限,以便在此账户中加载密码。 |
| StepFunctionsExecutionPolicy | 授予权限以启动 Step Functions 状态机执行。 |
| CodeCommitCrudPolicy | 授予创建/读取/更新/删除特定对象的权限CodeCommit存储库。 |
| CodeCommitReadPolicy | 授予读取特定对象的权限CodeCommit存储库。 |
| AthenaQuery策略 | 授予执行 Athena 查询的权限。 |
| TextractPolicy | 授予对 Amazon Textract 的完全访问权限。 |
| TextractDetectAnalyzePolicy | 允许使用 Amazon Textract 检测和分析文档。 |
| TextractGetResultPolicy | 允许从 Amazon Textract 获取检测到和分析的文档。 |
| EventBridgePutEvents策略 | 授予权限以将事件发送到EventBridge. |
| ElasticMapReduceModifyInstanceFleet策略 | 授予列出集群内实例队列详细信息和修改容量的权限。 |
| ElasticMapReduceSetTerminationProtectionPolicy | 授予权限以便为集群设置终止保护。 |
| ElasticMapReduceModifyInstanceGroups策略 | 授予列出集群内实例组的详细信息和修改设置的权限。 |
| ElasticMapReduceCancelStepsPolicy | 授予权限以取消运行的集群中的一个或多个待处理步骤。 |
| ElasticMapReduceTerminateJobFlows策略 | 授予权限以关闭集群。 |
| ElasticMapReduceAddJobFlowStepsPolicy | 授予权限以将新步骤添加到运行的集群中。 |
| SageMakerCreateEndpoint策略 | 授予权限以在中创建终端节点SageMaker. |
| SageMakerCreateEndpointConfigPolicy | 授予在中创建终端节点配置的权限SageMaker. |
| EcsRunTaskPolicy | 授予权限以启动任务定义的新任务。 |
| EFSWriteAccess策略 | 授予挂载具有写入权限的 Amazon EFS 文件系统的权限。 |
| Route53ChangeResourceRecordSets策略 | 授予权限以更改 Route 53 中的资源记录集。 |
| AcmGetCertificatePolicy | 授予从中读取证书的权限Amazon Certificate Manager. |
故障排除
SAM CLI 错误:“必须为策略模板指定有效的参数值 '<policy-template-name>'”
执行 sam build 时,您会看到以下错误:
"Must specify valid parameter values for policy template '<policy-template-name>'"
这意味着在声明没有任何占位符值的策略模板时,您没有传递空对象。
要修复此问题,请按照以下示例声明策略CloudWatchPutMetric策略.
MyFunction: Policies: - CloudWatchPutMetricPolicy: {}