2

问题

Lambda 函数的 IAM 角色是否需要 IAM 权限才能调用自身?

背景

阅读教程:使用 DynamoDB Streams 和 Lambda 处理新项目

在此处输入图像描述

它看起来处理 DynamoDB 流记录的 lambda 函数的 IAM 角色具有调用函数本身(和附加)的 IAM 权限。

"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:region:accountID:function:publishNewBark*"

低音炮LambdaRolePolicy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:region:accountID:function:publishNewBark*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:region:accountID:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeStream",
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:ListStreams"
            ],
            "Resource": "arn:aws:dynamodb:region:accountID:table/BarkTable/stream/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

aws iam put-role-policy --role-name WooferLambdaRole \
    --policy-name WooferLambdaRolePolicy \
    --policy-document file://role-policy.json

aws lambda create-function \
    --region us-east-1 \
    --function-name publishNewBark \
    --zip-file fileb://publishNewBark.zip \
    --role roleARN \                         <--- Replace roleARN with the ARN for WooferLambdaRole.
    --handler publishNewBark.handler \
    --timeout 5 \
    --runtime nodejs10.x

为什么需要将调用 lambda 函数本身的 IAM 权限附加到 lambda 的 IAM 角色?或者是否有与 DynamoDB 流处理相关的特定原因?

4

1 回答 1

3

您所描述的是AWS Lambda 事件源映射的示例,它仅适用于 Kinesis、DynamDB 和 SQS。

但是,您没有授予函数调用自身的权限。相反,您授予 AWS Lambda 服务(不是您的函数)调用您的函数的权限。原因是 Lambda 服务将在后台代表您处理 DynamoDB 流,并在可用时使用流记录调用您的函数。

请注意,WooferLambdaRole角色的信任策略适用于lambda.amazonaws.com

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "lambda.amazonaws.com"
       },
       "Action": "sts:AssumeRole"
     }
   ]
 }

信任策略意味着 lambda 服务(同样不是您的函数,而是 aws lambda 服务本身)将能够承担包含WooferLambdaRolePolicy. 随后,lambda 服务将能够使用 DynamoDB 并调用您的函数。

于 2020-03-31T03:53:17.113 回答