以有限政策授予对AWS Lambda服务的访问权

Question

我试图按照此tutorial设置关闭/启动实例的lambda函数，并将特殊标记添加到ec2实例。

分配给Admin用户自己角色的政策，我可以访问如通过

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "cloudwatch:*", 
     "cognito-identity:ListIdentityPools", 
     "cognito-sync:GetCognitoEvents", 
     "cognito-sync:SetCognitoEvents", 
     "dynamodb:*", 
     "events:*", 
     "iam:ListAttachedRolePolicies", 
     "iam:ListRolePolicies", 
     "iam:ListRoles", 
     "iam:PassRole", 
     "kinesis:DescribeStream", 
     "kinesis:ListStreams", 
     "kinesis:PutRecord", 
     "lambda:*", 
     "logs:*", 
     "s3:*", 
     "sns:ListSubscriptions", 
     "sns:ListSubscriptionsByTopic", 
     "sns:ListTopics", 
     "sns:Subscribe", 
     "sns:Unsubscribe" 
     ], 
     "Resource": "*" 
    } 
    ] 
} 

所有lambda表达式我坚持为第6步，同时设置Lambda function handler and role同时选择“基本执行角色”，错误

用户：阿尔恩：AWS：IAM :: XXXX：用户/ yyyy是无权执行： IAM：CREATEROLE资源：阿尔恩：AWS：IAM :: XXXX：角色/ lambda_basic_exec

我的角色看起来政策某物是这样的：

{ 
     "Version": "2012-10-17", 
     "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": [ 
      "logs:CreateLogGroup", 
      "logs:CreateLogStream", 
      "logs:PutLogEvents" 
      ], 
      "Resource": "arn:aws:logs:*:*:*" 
     },  
     { 
      "Effect": "Allow", 
      "Action": [ 
      "ec2:Describe*", 
      "ec2:Start*", 
      "ec2:RunInstances", 
      "ec2:Stop*", 
      ], 
      "Resource": "*" 
     } 
     ] 
    } 

这似乎是合理的给我的有限的权利。

我应该问什么我的管理员更新分配给我的策略，以便我可以成功设置lambda函数的计划事件，如教程中所述？或者这可以通过其他方式来完成，例如通过添加新角色来使用IAM？我只想要足够的权利。

Answer 1

您有安全约束，因为您需要在策略中使用“iam：CreateRole”，以及诸如“iam：attachRolePolicy”和“iam：createPolicy”之类的内容。因此，基本上你的账户是管理员，因为你可以使用任何策略创建角色，并将其附加到EC2实例或直接假设它。

你可以做的是让你的管理员为lambda创建一个或多个角色，例如一个用于S3访问，一个用于ec2命令等。当你想要创建一个lambda函数时，选择这些预先创建的角色之一而不是创建一个新的。