Definizione dei criteri AWSLambdaExecute

Prefazione: Non chiedo aiuto per la configuration. Il mio caso d'uso è coperto e funziona bene. Questa è una questione teorica.

Su AWS c'è una politica denominata AWSLambdaExecute che è definita come segue:

  • Se non è ansible modificare l'endpoint RDS di un'istanza AWS Beanstalk, come si fa una distribuzione blu / verde?
  • Perché ho bisogno di un utente IAM quando posso creare un'istanza dall'account principale?
  • SSL sia su ELB che sul server
  • AWS EC2 - Nessun spazio rimasto sul dispositivo
  • Semplice S3 -> Backup del ghiacciaio
  • Aws vpc tabella di path predefinita in CloudFormation
  •  { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:*" ], "Resource": "arn:aws:logs:*:*:*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::*" } ] } 

    Questa definizione mi dice:

    • Accesso completo a tutti i registri
    • Può scaricare / caricare su S3.

    Qual è il ragionamento dietro questo? Perché parlano di S3? (La mia particolare lambda invoca non ha nulla a che vedere con S3.) Conosciamo qualunque documentazione dettagliata su politiche predefinite diverse dalle descrizioni one-liner di ciascuno?

  • Terraform, la creazione di servizi ecs non riesce quando si utilizza una politica IAM configurata
  • Come posso dare una authorization utente AWS IAM per gestire le proprie credenziali di protezione?
  • Dare EC2 IAM lettura accesso lettura al secchio S3
  • Utilizzare IAM per consentire all'utente di modificare i gruppi di protezione AWS / EC2?
  • Come aggiungere specifici restrizioni di accesso CloudFormation, EC2, RDS e S3 in AWS - IAM
  • Ottenere i file da un secchio di s3 utilizzando le credenziali di ruolo di IAM
  • One Solution collect form web for “Definizione dei criteri AWSLambdaExecute”

    Se la tua function non ha nulla a che fare con S3, quindi non utilizzare questa policy gestita. Per quanto posso vedere questa politica è utilizzata nella documentazione in combinazione con un tutorial su come utilizzare Lambda con Amazon S3.

    Fonte: https://docs.aws.amazon.com/lambda/latest/dg/with-s3-example-create-iam-role.html

    Se si desidera utilizzare una politica gestita, consiglio di utilizzare AWSLambdaBasicExecutionRole che sembra contenere solo il minimo:

     { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] } 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.