Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie IAM-Berechtigungen und -Rollen für Lambda @Edge ein
Um Lambda @Edge zu konfigurieren, benötigen Sie die folgenden IAM-Berechtigungen und -Rollen für: AWS Lambda
-
IAM-Berechtigungen — Mit diesen Berechtigungen können Sie Ihre Lambda-Funktion erstellen und sie Ihrer CloudFront Distribution zuordnen.
-
Eine Lambda-Funktionsausführungsrolle (IAM-Rolle) — Die Lambda-Serviceprinzipale übernehmen diese Rolle, um Ihre Funktion auszuführen.
-
Dienstgebundene Rollen für Lambda @Edge — Die dienstverknüpften Rollen ermöglichen es bestimmten, Lambda-Funktionen in Protokolldateien AWS-Services zu replizieren AWS-Regionen und deren Verwendung zu ermöglichen CloudWatch. CloudFront
IAM-Berechtigungen sind erforderlich, um Lambda @Edge -Funktionen mit Distributionen zu verknüpfen CloudFront
Zusätzlich zu den IAM-Berechtigungen, die Sie für Lambda benötigen, benötigen Sie die folgenden Berechtigungen, um Lambda-Funktionen Distributionen zuzuordnen: CloudFront
-
lambda:GetFunction
— Erteilt die Erlaubnis, Konfigurationsinformationen für Ihre Lambda-Funktion und eine vorsignierte URL zum Herunterladen einer.zip
Datei abzurufen, die die Funktion enthält. -
lambda:EnableReplication*
— Erteilt die Berechtigung für die Ressourcenrichtlinie, sodass der Lambda-Replikationsdienst den Funktionscode und die Konfiguration abrufen kann. -
lambda:DisableReplication*
— Erteilt der Ressourcenrichtlinie die Berechtigung, sodass der Lambda-Replikationsdienst die Funktion löschen kann.Wichtig
Sie müssen das Sternchen (
*
) am Ende der Aktionenlambda:EnableReplication*
undlambda:DisableReplication*
hinzufügen. -
Geben Sie für die Ressource den ARN der Funktionsversion an, die Sie ausführen möchten, wenn ein CloudFront Ereignis eintritt, wie im folgenden Beispiel:
arn:aws:lambda:us-east-1:123456789012:function:
TestFunction
:2 -
iam:CreateServiceLinkedRole
— Erteilt die Erlaubnis, eine serviceverknüpfte Rolle zu erstellen, in der Lambda @Edge Lambda-Funktionen repliziert. CloudFront Nachdem Sie Lambda @Edge zum ersten Mal konfiguriert haben, wird die serviceverknüpfte Rolle automatisch für Sie erstellt. Sie müssen diese Berechtigung nicht zu anderen Distributionen hinzufügen, die Lambda @Edge verwenden. -
cloudfront:UpdateDistribution
odercloudfront:CreateDistribution
— Erteilt die Erlaubnis, eine Distribution zu aktualisieren oder zu erstellen.
Weitere Informationen finden Sie unter den folgenden Themen:
-
Zugriffsberechtigungen für Lambda-Ressourcen im AWS Lambda Developer Guide
Funktionsausführungsrolle für Service-Prinzipale
Sie müssen eine IAM-Rolle erstellen, die die Dienstprinzipale lambda.amazonaws.com
und die edgelambda.amazonaws.com
Dienstprinzipale bei der Ausführung Ihrer Funktion übernehmen können.
Tipp
Wenn Sie Ihre Funktion in der Lambda-Konsole erstellen, können Sie wählen, ob Sie mithilfe einer AWS Richtlinienvorlage eine neue Ausführungsrolle erstellen möchten. Dieser Schritt fügt automatisch die erforderlichen Lambda @Edge -Berechtigungen hinzu, um Ihre Funktion auszuführen. Siehe Schritt 5 im Tutorial: Eine einfache Lambda @Edge -Funktion erstellen.
Weitere Informationen zum manuellen Erstellen einer IAM-Rolle finden Sie unter Rollen erstellen und Richtlinien anhängen (Konsole) im IAM-Benutzerhandbuch.
Beispiel: Vertrauensrichtlinie für Rollen
Sie können diese Rolle auf der Registerkarte Trust Relationship in der IAM-Konsole hinzufügen. Fügen Sie diese Richtlinie nicht auf der Registerkarte „Berechtigungen“ hinzu.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "lambda.amazonaws.com", "edgelambda.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:lambda:*:123456789012:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
Weitere Informationen zu den Berechtigungen, die Sie der Ausführungsrolle gewähren müssen, finden Sie unter Lambda-Ressourcenzugriffsberechtigungen im AWS Lambda Entwicklerhandbuch.
Hinweise
-
Standardmäßig werden Daten in CloudWatch Logs geschrieben, wenn ein CloudFront Ereignis eine Lambda-Funktion auslöst. Wenn Sie diese Protokolle verwenden möchten, benötigt die Ausführungsrolle die Berechtigung, Daten in CloudWatch Logs zu schreiben. Sie können das Vordefinierte verwendenAWSLambdaBasicExecutionRole, um der Ausführungsrolle die Berechtigung zu erteilen.
Weitere Informationen zu CloudWatch Protokollen finden Sie unterProtokolle für Edge-Funktionen.
-
Wenn Ihr Lambda-Funktionscode auf andere AWS Ressourcen zugreift, z. B. auf das Lesen eines Objekts aus einem S3-Bucket, benötigt die Ausführungsrolle die Erlaubnis, diese Aktion auszuführen.
Serviceverknüpfte Rollen für Lambda@Edge
Lambda @Edge verwendet dienstverknüpfte IAM-Rollen. Eine serviceverknüpfte Rolle ist ein spezieller Typ von IAM-Rolle, der direkt mit einem Service verknüpft ist. Serviceverknüpfte Rollen werden vom Service vorab definiert und beinhalten alle Berechtigungen, die dieser zum Aufrufen anderer AWS -Services in Ihrem Namen benötigt.
Lambda @Edge verwendet die folgenden dienstverknüpften IAM-Rollen:
-
AWSServiceRoleForLambdaReplicator – Lambda@Edge verwendet diese Rolle, um es Lambda@Edge zu ermöglichen, Funktionen in AWS-Regionen zu replizieren.
Wenn Sie zum ersten Mal einen Lambda @Edge -Trigger hinzufügen CloudFront, AWSServiceRoleForLambdaReplicator wird automatisch eine Rolle mit dem Namen erstellt, damit Lambda @Edge Funktionen replizieren kann. AWS-Regionen Diese Rolle ist erforderlich, um Lambda @Edge -Funktionen verwenden zu können. Der ARN für die AWSServiceRoleForLambdaReplicator Rolle sieht wie das folgende Beispiel aus:
arn:aws:iam::123456789012:role/aws-service-role/replicator.lambda.amazonaws.com/AWSServiceRoleForLambdaReplicator
-
AWSServiceRoleForCloudFrontLogger— CloudFront verwendet diese Rolle, um Protokolldateien zu übertragen CloudWatch. Sie können Protokolldateien verwenden, um Lambda @Edge -Validierungsfehler zu debuggen.
Die AWSServiceRoleForCloudFrontLogger Rolle wird automatisch erstellt, wenn Sie eine Lambda @Edge -Funktionsassoziation hinzufügen, an die Lambda @Edge -Fehlerprotokolldateien übertragen werden können CloudFront . CloudWatch Der ARN für die AWSServiceRoleForCloudFrontLogger-Rolle sieht so aus:
arn:aws:iam::account_number:role/aws-service-role/logger.cloudfront.amazonaws.com/AWSServiceRoleForCloudFrontLogger
Eine serviceverknüpfte Rolle vereinfacht das Einrichten und Verwenden von Lambda@Edge, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Lambda@Edge definiert die Berechtigungen seiner servicegebundenen Rollen. Nur Lambda@Edge kann die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Sie können die Berechtigungsrichtlinie keiner anderen IAM-Entität zuordnen.
Sie müssen alle zugehörigen Ressourcen CloudFront oder Lambda @Edge -Ressourcen entfernen, bevor Sie eine serviceverknüpfte Rolle löschen können. Dies trägt zum Schutz Ihrer Lambda @Edge -Ressourcen bei, sodass Sie keine dienstbezogene Rolle entfernen, die weiterhin für den Zugriff auf aktive Ressourcen erforderlich ist.
Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Dienstbezogene Rollen für CloudFront.
Serviceverknüpfte Rollenberechtigungen für Lambda@Edge
Lambda@Edge verwendet zwei servicegebundene Rollen. Diese heißen AWSServiceRoleForLambdaReplicator und AWSServiceRoleForCloudFrontLogger. In den folgenden Abschnitten werden die Berechtigungen für jede dieser Rollen beschrieben.
Inhalt
Serviceverknüpfte Rollenberechtigungen für Lambda Replicator
Diese serviceverknüpfte Rolle ermöglicht Lambda das Replizieren von Lambda@Edge-Funktionen zu AWS-Regionen.
Die serviceverknüpfte Rolle AWSServiceRoleForLambdaReplicator vertraut dem Service replicator.lambda.amazonaws.com
, sodass dieser die Rolle annehmen kann.
Die Rollenberechtigungsrichtlinie erlaubt Lambda@Edge die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
-
lambda:CreateFunction
aufarn:aws:lambda:*:*:function:*
-
lambda:DeleteFunction
aufarn:aws:lambda:*:*:function:*
-
lambda:DisableReplication
aufarn:aws:lambda:*:*:function:*
-
iam:PassRole
aufall AWS resources
-
cloudfront:ListDistributionsByLambdaFunction
aufall AWS resources
Dienstbezogene Rollenberechtigungen für Logger CloudFront
Diese dienstbezogene Rolle ermöglicht das CloudFront Pushen von Protokolldateien, CloudWatch sodass Sie Lambda @Edge -Validierungsfehler debuggen können.
Die serviceverknüpfte Rolle AWSServiceRoleForCloudFrontLogger vertraut dem Service logger.cloudfront.amazonaws.com
, sodass dieser die Rolle annehmen kann.
Die Rollenberechtigungsrichtlinie ermöglicht es Lambda @Edge, die folgenden Aktionen für die angegebene arn:aws:logs:*:*:log-group:/aws/cloudfront/*
Ressource durchzuführen:
-
logs:CreateLogGroup
-
logs:CreateLogStream
-
logs:PutLogEvents
Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) die mit dem Lambda@Edge-Service verknüpften Rollen löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Serviceverknüpfte Rollen für Lambda@Edge erstellen
Servicegebundene Rollen für Lambda@Edge werden in der Regel nicht manuell erstellt. In den folgenden Szenarien legt der Service die Rollen für Sie automatisch an:
-
Wenn Sie zum ersten Mal einen Trigger erstellen, erstellt der Dienst die AWSServiceRoleForLambdaReplicator Rolle (sofern sie nicht bereits vorhanden ist). Diese Rolle ermöglicht es Lambda, Lambda @Edge -Funktionen auf zu replizieren. AWS-Regionen
Wenn Sie die serviceverknüpfte Rolle löschen, wird die Rolle erneut erstellt, wenn Sie einen neuen Auslöser für Lambda@Edge in einer Verteilung hinzufügen.
-
Wenn Sie eine CloudFront Distribution aktualisieren oder erstellen, die über eine Lambda @Edge -Zuordnung verfügt, erstellt der Dienst die AWSServiceRoleForCloudFrontLogger Rolle (sofern die Rolle noch nicht vorhanden ist). Diese Rolle ermöglicht es CloudFront , Ihre Protokolldateien per Push zu CloudWatch übertragen.
Wenn Sie die dienstverknüpfte Rolle löschen, wird die Rolle erneut erstellt, wenn Sie eine CloudFront Distribution aktualisieren oder erstellen, die über eine Lambda @Edge -Zuordnung verfügt.
Um diese dienstbezogenen Rollen manuell zu erstellen, können Sie die folgenden Befehle AWS Command Line Interface ()AWS CLI ausführen:
So erstellen Sie die AWSServiceRoleForLambdaReplicator-Rolle
-
Führen Sie den folgenden Befehl aus.
aws iam create-service-linked-role --aws-service-name replicator.lambda.amazonaws.com
So erstellen Sie die AWSServiceRoleForCloudFrontLogger-Rolle
-
Führen Sie den folgenden Befehl aus.
aws iam create-service-linked-role --aws-service-name logger.cloudfront.amazonaws.com
Bearbeiten von serviceverknüpften Lambda@Edge-Rollen
Lambda @Edge erlaubt Ihnen nicht, die Rollen AWSServiceRoleForLambdaReplicator oder die AWSServiceRoleForCloudFrontLogger dienstbezogenen Rollen zu bearbeiten. Nachdem der Dienst eine dienstverknüpfte Rolle erstellt hat, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können mithilfe von IAM jedoch die Beschreibung der Rolle bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Wird AWS-Regionen für CloudFront dienstverknüpfte Rollen unterstützt
CloudFront unterstützt die Verwendung von dienstverknüpften Rollen für Lambda @Edge im Folgenden: AWS-Regionen
-
US East (N. Virginia) –
us-east-1
-
US East (Ohio) –
us-east-2
-
US West (N. California) –
us-west-1
-
US West (Oregon) –
us-west-2
-
Asia Pacific (Mumbai) –
ap-south-1
-
Asien-Pazifik (Seoul) –
ap-northeast-2
-
Asia Pacific (Singapore) –
ap-southeast-1
-
Asien-Pazifik (Sydney) –
ap-southeast-2
-
Asien-Pazifik (Tokio) –
ap-northeast-1
-
Europe (Frankfurt) –
eu-central-1
-
Europe (Ireland) –
eu-west-1
-
Europe (London) –
eu-west-2
-
South America (São Paulo) –
sa-east-1