我在我的 AWS 账户中创建了一个 IAM 用户,供某人协助我完成项目。
如何向此用户授予对一个指定 Lambda 函数的完全访问权限?
通过完全访问,我的意思是他对这个功能拥有与我(root 帐户(相同的权限,并且不做其他事情,例如创建新功能或查看其他功能。
首先,请注意"完全访问权限"的含义。这将包括删除函数的功能,这可能不是您想要允许的。
查看:适用于 AWS Lambda 的操作、资源和条件键 - AWS Identity and Access Management
它列出了所有与 Lambda 相关的操作。您会注意到,许多条目function列在"资源类型"列中。这意味着您可以将授予的权限限制为仅声明的功能。因此,您可能希望仅将权限限制为那些可以通过函数限制的操作。
结果将是一个类似于以下内容的策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:InvokeAsync",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode",
"lambda:UpdateFunctionConfiguration"
],
"Resource": "arn:aws:lambda:ap-southeast-2:123456789012:function:my-function"
}
]
}