以有限政策授予對AWS Lambda服務的訪問權

Question

我試圖按照此tutorial設置關閉/啓動實例的lambda函數，並將特殊標記添加到ec2實例。

分配給Admin用戶自己角色的政策，我可以訪問如通過

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Action": [ 
     "cloudwatch:*", 
     "cognito-identity:ListIdentityPools", 
     "cognito-sync:GetCognitoEvents", 
     "cognito-sync:SetCognitoEvents", 
     "dynamodb:*", 
     "events:*", 
     "iam:ListAttachedRolePolicies", 
     "iam:ListRolePolicies", 
     "iam:ListRoles", 
     "iam:PassRole", 
     "kinesis:DescribeStream", 
     "kinesis:ListStreams", 
     "kinesis:PutRecord", 
     "lambda:*", 
     "logs:*", 
     "s3:*", 
     "sns:ListSubscriptions", 
     "sns:ListSubscriptionsByTopic", 
     "sns:ListTopics", 
     "sns:Subscribe", 
     "sns:Unsubscribe" 
     ], 
     "Resource": "*" 
    } 
    ] 
} 

所有lambda表達式我堅持爲第6步，同時設置Lambda function handler and role同時選擇「基本執行角色」，錯誤

用戶：阿爾恩：AWS：IAM :: XXXX：用戶/ yyyy是無權執行： IAM：CREATEROLE資源：阿爾恩：AWS：IAM :: XXXX：角色/ lambda_basic_exec

我的角色看起來政策某物是這樣的：

{ 
     "Version": "2012-10-17", 
     "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": [ 
      "logs:CreateLogGroup", 
      "logs:CreateLogStream", 
      "logs:PutLogEvents" 
      ], 
      "Resource": "arn:aws:logs:*:*:*" 
     },  
     { 
      "Effect": "Allow", 
      "Action": [ 
      "ec2:Describe*", 
      "ec2:Start*", 
      "ec2:RunInstances", 
      "ec2:Stop*", 
      ], 
      "Resource": "*" 
     } 
     ] 
    } 

這似乎是合理的給我的有限的權利。

我應該問什麼我的管理員更新分配給我的策略，以便我可以成功設置lambda函數的計劃事件，如教程中所述？或者這可以通過其他方式來完成，例如通過添加新角色來使用IAM？我只想要足夠的權利。

Answer 1

您有安全約束，因爲您需要在策略中使用「iam：CreateRole」，以及諸如「iam：attachRolePolicy」和「iam：createPolicy」之類的內容。因此，基本上你的賬戶是管理員，因爲你可以使用任何策略創建角色，並將其附加到EC2實例或直接假設它。

你可以做的是讓你的管理員爲lambda創建一個或多個角色，例如一個用於S3訪問，一個用於ec2命令等。當你想要創建一個lambda函數時，選擇這些預先創建的角色之一而不是創建一個新的。