我正在制定使用 Lambda 的安全细节。我不知道的一件事是,当您从 Lambda 控制台或通过 S3 - 属性 - 事件添加触发器时,S3 如何获得推送到 Lambda 的权限。我知道它是如何使用 CLI 工作的,并且我知道您可以通过 SDK 来完成它,但我也注意到它并不总是必要的。大多数情况下,触发器只是“工作”而无需我添加任何权限。有人知道为什么吗?
有没有办法找出 S3/S3 存储桶有什么权限?我知道有一个“权限”选项卡,但这并没有给我任何信息。我也知道 Truster Advisor,但这只是告诉我权限没有明确的问题。我想知道我是否可以获得权限列表?
我希望有人可以帮助我,在此先感谢!
在控制台中添加触发器相当于分配权限和设置存储桶通知。get-policy您可以使用cli 命令查看与特定 lambda 函数关联的策略:
aws lambda get-policy --function-name <name>
这将告诉您针对您的功能的政策。包括有权调用它的资源。此策略不适用于 S3 存储桶,而是您的 lambda 函数。
您还可以在“属性”>“事件”下的控制台中查看您的存储桶设置通知的内容,或使用 cli 使用以下get-bucket-notification命令查看此内容:
aws s3api get-bucket-notification --bucket <bucket>