Rol de operador de Lambda para instancias administradas de Lambda
Cuando utiliza instancias administradas de Lambda, Lambda necesita permisos para administrar la capacidad de cómputo de su cuenta. El rol de operador proporciona estos permisos a través de las políticas de IAM que permiten que Lambda administre las instancias de EC2 en el proveedor de capacidad.
Lambda asume el rol de operador cuando realiza estas operaciones de administración, de forma similar a como Lambda asume un rol de ejecución cuando se ejecuta la función.
Creación de un rol de operador
Puede crear un rol de operador en la consola de IAM o mediante la CLI de AWS. El rol debe incluir lo siguiente:
-
Política de permisos: otorga permisos para administrar los proveedores de capacidad y los recursos asociados.
-
Política de confianza: permite que el servicio de Lambda (
lambda.amazonaws.com) asuma el rol.
Política de permisos
El rol de operador necesita permisos para administrar los proveedores de capacidad y los recursos de cómputo subyacentes. Como mínimo, el rol requiere los permisos de la política administrada de AWSLambdaManagedEC2ResourceOperator
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateTags", "ec2:AttachNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:volume/*" ], "Condition": { "StringEquals": { "ec2:ManagedResourceOperator": "scaler.lambda.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeCapacityReservations", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:image/*" ], "Condition": { "StringEquals": { "ec2:Owner": "amazon" } } } ] }
Política de confianza
Esta política de confianza permite que Lambda asuma el rol de operador:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
rol vinculado a servicios para instancias administradas de Lambda
Para administrar de forma responsable el ciclo de vida de las instancias administradas de Lambda, Lambda necesita un acceso persistente para cerrar las instancias administradas de su cuenta. Lambda utiliza un rol vinculado a servicios (SLR) de AWS Identity and Access Management (IAM) para realizar estas operaciones.
Creación automática: el rol vinculado a servicios se crea automáticamente la primera vez que se crea un proveedor de capacidad. El usuario que crea el primer proveedor de capacidad debe tener el permiso del iam:CreateServiceLinkedRole para la entidad principal de lambda.amazonaws.com.
Permisos: el rol vinculado a servicios otorga a Lambda los siguientes permisos en las instancias administradas:
-
ec2:TerminateInstances: finalizar instancias al final de su ciclo de vida. -
ec2:DescribeInstances: enumerar las instancias administradas.
Eliminación: solo puede eliminar este rol vinculado a servicios después de haber eliminado todos los proveedores de capacidad de instancias administradas de Lambda de su cuenta.
Para obtener más información acerca de los roles vinculados a servicios, consulte Uso de roles vinculados a servicios en Lambda.
