我正在研究使用 Lambda 的安全细节。我无法找到的一件事是,当您从 Lambda 控制台或通过 S3 - 属性 - 事件添加触发器时,S3 如何获得推送到 Lambda 的权限。我知道它如何使用 CLI 工作,我知道您可以通过 SDK 做到这一点,但我也注意到这并不总是必要的。大多数情况下,触发器只是"工作",而无需我添加任何权限。有人知道为什么吗?
有没有办法找出 S3/an S3 存储桶具有哪些权限?我知道有一个标签"权限",但这并没有给我任何信息。我也知道信任顾问,但这只是告诉我权限没有明确的问题。我想知道我是否可以获得权限列表?
希望有人能帮到我,提前谢谢!
在控制台中添加触发器等效于分配权限和设置存储桶通知。您可以使用get-policycli 命令查看与特定 lambda 函数关联的策略:
aws lambda get-policy --function-name <name>
这将告诉您函数的策略是什么。包括有权调用它的资源。此策略不适用于 S3 存储桶,而是应用于您的 lambda 函数。
您还可以在控制台中的属性>事件下查看存储桶设置为通知的内容,或使用get-bucket-notification命令通过 cli 查看以下内容:
aws s3api get-bucket-notification --bucket <bucket>