AWS Lambda 的 AWS 受管政策 - AWS Lambda
AWSLambda_FullAccessAWSLambda_ReadOnlyAccessAWSLambdaBasicExecutionRoleAWSLambdaDynamoDBExecutionRoleAWSLambdaENIManagementAccessAWSLambdaExecuteAWSLambdaInvocation-DynamoDBAWSLambdaKinesisExecutionRoleAWSLambdaMSKExecutionRoleAWSLambdaRoleAWSLambdaSQSQueueExecutionRoleAWSLambdaVPCAccessExecutionRole政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Lambda 的 AWS 受管政策

AWS 管理的政策是由 AWS 建立和管理的獨立政策。AWS 管理的政策的設計在於為許多常見使用案例提供許可,如此您就可以開始將許可指派給使用者、群組和角色。

請謹記,AWS 管理的政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法更改 AWS 管理的政策中定義的許可。如果 AWS 更新 AWS 管理的政策中定義的許可,更新會影響政策連接的所有主體身分 (使用者、群組和角色)。在推出新的 AWS 服務 或有新的 API 操作可供現有服務使用時,AWS 很可能會更新 AWS 管理的政策。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS受管理的策略: AWSLambda_FullAccess

此政策也會授予完整存取權給 Lambda 動作。它還會將許可授予用於開發和維護 Lambda 資源的其他 AWS 服務。

您可以將 AWSLambda_FullAccess 政策連接至使用者、群組與角色。

許可詳細資訊

此政策包含以下許可:

  • lambda:允許委託人完整存取 Lambda。

  • cloudformation:允許委託人描述 AWS CloudFormation 堆疊,並列出這些堆疊中的資源。

  • cloudwatch— 允許主體列出 Amazon CloudWatch 指標並取得指標資料。

  • ec2:允許委託人描述安全群組、子網路和 VPC。

  • iam:允許委託人取得政策、政策版本、角色、角色政策、連接角色政策以及角色清單。此政策也允許委託人將角色傳遞給 Lambda。將執行角色指派給函數時,便會使用 PassRole 許可。

  • kms:允許委託人列出別名。

  • logs— 允許主體描述 Amazon CloudWatch 日誌群組。對於與 Lambda 函數相關聯的日誌群組,此政策可讓委託人描述日誌串流、取得日誌事件,以及篩選日誌事件。

  • states:允許委託人描述及列出 AWS Step Functions 狀態機器。

  • tag:允許委託人根據其標籤取得資源。

  • xray:允許委託人取得 AWS X-Ray 追蹤摘要,並擷取 ID 指定的追蹤清單。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambda_FullAccess中的。

AWS受管理的策略: AWSLambda_ReadOnlyAccess

此政策授予 Lambda 資源和其他 AWS 資源的唯讀存取權,可用於開發和維護 Lambda 資源。

您可以將 AWSLambda_ReadOnlyAccess 政策連接至使用者、群組與角色。

許可詳細資訊

此政策包含以下許可:

  • lambda:允許委託人取得和列出所有資源。

  • cloudformation:允許委託人描述和列出 AWS CloudFormation 堆疊,並列出這些堆疊中的資源。

  • cloudwatch— 允許主體列出 Amazon CloudWatch 指標並取得指標資料。

  • ec2:允許委託人描述安全群組、子網路和 VPC。

  • iam:允許委託人取得政策、政策版本、角色、角色政策、連接角色政策以及角色清單。

  • kms:允許委託人列出別名。

  • logs— 允許主體描述 Amazon CloudWatch 日誌群組。對於與 Lambda 函數相關聯的日誌群組,此政策可讓委託人描述日誌串流、取得日誌事件,以及篩選日誌事件。

  • states:允許委託人描述及列出 AWS Step Functions 狀態機器。

  • tag:允許委託人根據其標籤取得資源。

  • xray:允許委託人取得 AWS X-Ray 追蹤摘要,並擷取 ID 指定的追蹤清單。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambda_ReadOnlyAccess中的。

AWS受管理的策略: AWSLambdaBasicExecutionRole

此原則會授與將記錄檔上傳至記錄 CloudWatch 檔的權限。

您可以將 AWSLambdaBasicExecutionRole 政策連接至使用者、群組與角色。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambdaBasicExecutionRole中的。

AWS受管理的策略: AWSLambdaDynamoDBExecutionRole

此政策授予從 Amazon DynamoDB 串流讀取記錄並寫入日誌的權限。 CloudWatch

您可以將 AWSLambdaDynamoDBExecutionRole 政策連接至使用者、群組與角色。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambdaDynamoDBExecutionRole中的。

AWS受管理的策略: AWSLambdaENIManagementAccess

此政策授予建立、描述和刪除已啟用 VPC 之 Lambda 函數所使用之彈性網路界面的許可。

您可以將 AWSLambdaENIManagementAccess 政策連接至使用者、群組與角色。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambdaENIManagementAccess中的。

AWS受管理的策略: AWSLambdaExecute

此政策授予PUT和存GET取 Amazon 簡單儲存服務,以及對 CloudWatch 日誌的完整存取權。

您可以將 AWSLambdaExecute 政策連接至使用者、群組與角色。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambdaExecute中的。

AWS受管政策: AWSLambdaInvocation

此政策授予 Amazon DynamoDB Streams 的讀取存取權。

您可以將 AWSLambdaInvocation-DynamoDB 政策連接至使用者、群組與角色。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管原則參考指南中的 AWSLambdaInvocation-DynamoDB

AWS受管理的策略: AWSLambdaKinesisExecutionRole

此政策授予從 Amazon Kinesis 資料串流讀取事件並寫入 CloudWatch 日誌的權限。

您可以將 AWSLambdaKinesisExecutionRole 政策連接至使用者、群組與角色。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambdaKinesisExecutionRole中的。

AWS受管理的策略: AWSLambdaMSKExecutionRole

此政策授予讀取和存取來自 Apache Kafka 叢集之 Amazon 受管串流記錄、管理彈性網路界面以及寫入日誌的權限。 CloudWatch

您可以將 AWSLambdaMSKExecutionRole 政策連接至使用者、群組與角色。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambdaMSKExecutionRole中的。

AWS受管理的策略: AWSLambdaRole

此政策授予調用 Lambda 函數的許可。

您可以將 AWSLambdaRole 政策連接至使用者、群組與角色。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambdaRole中的。

AWS受管理的策略: AWSLambdaSQSQueueExecutionRole

此政策授予讀取和刪除 Amazon 簡單佇列服務佇列中訊息的權限,並授予對 CloudWatch 日誌的寫入許可。

您可以將 AWSLambdaSQSQueueExecutionRole 政策連接至使用者、群組與角色。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambdaSQSQueueExecutionRole中的。

AWS受管理的策略: AWSLambdaVPCAccessExecutionRole

此政策授予管理 Amazon Virtual Private Cloud 中彈性網路界面和寫入 CloudWatch 日誌的許可。

您可以將 AWSLambdaVPCAccessExecutionRole 政策連接至使用者、群組與角色。

如需有關此原則的詳細資訊,包括 JSON 政策文件和政策版本,請參閱AWS受管理原則參考指南AWSLambdaVPCAccessExecutionRole中的。

Lambda AWS 受管政策更新項目

變更 描述 日期

AWSLambdaVPCAccessExecutionRole— 變更

Lambda 已更新AWSLambdaVPCAccessExecutionRole政策以允許執行此動作ec2:DescribeSubnets

 2024年1月5日

AWSLambda_ReadOnlyAccess— 變更

Lambda 已更新允許委託人列出 AWS CloudFormation 堆疊的 AWSLambda_ReadOnlyAccess 政策。

 2023 年 7 月 27 日

AWS Lambda 已開始追蹤變更

AWS Lambda 已開始追蹤其 AWS 管理的政策的變更。

 2023 年 7 月 27 日