我有一个lambda,可从kinesis流获取数据。分配权限时,我们将Lambda执行角色作为访问Kinesis流的策略。但是,我们不允许Kinesis允许Lambda从中获取数据的许可?为什么这样?
同样,具有DynamoDB的lambda是类似的情况。但是,当我们确实将Lambda与API Gateway集成时,在这种情况下,我们会在Lambda添加API Gateway可以调用它的权限。
我想了解IAM权限和角色的基本概念,这些概念将定义我们应该授予的权限以及我们不应该提供的资源。我知道IAM的这些概念时,我很幼稚。您可以提供的任何解释都会有所帮助。
lambda执行角色授予其许可以访问必要的AWS服务和资源。lambda将在执行过程中担任角色。
这就是为什么,正如您提到的那样,您会授予Kinesis(OR(DynamoDB权限,因为您在Lambda中对这些服务执行操作
但是,您对API网关添加的权限是基于资源的策略,允许API网关(或任何AWS服务(调用您的功能。
参考:https://docs.aws.amazon.com/lambda/latest/dg/lambda-permissions.html