我正在使用默认的AWS策略AWSlambDabasiceXecutionRole中的JSON:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
这是我用来创建角色的代码时:
def create_lambda_role():
205 try:
206 iam = boto3.client('iam')
207
208 lambda_permissions_json = ''
209 with open('lambda/lambda_permissions.json', 'r') as thefile:
210 lambda_permissions_json = thefile.read()
211
212 iam.create_role(
213 RoleName='lambda_basic_execution',
214 AssumeRolePolicyDocument=str(lambda_permissions_json)
215 )
216 except botocore.exceptions.ClientError as e:
217 print e.response['Error']['Code']
218 return False
219
220 return True
但它总是返回畸形的pocydocument错误,我一生都不能明白为什么。
AssumeRolePolicyDocument参数期望JSON Trust策略描述谁可以担任此角色。您正在提供一项策略,该策略正在描述此角色可以访问哪些资源。
有关信任政策的更多信息,请参阅此信息,但是假设角色策略应该看起来像这样:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
}
这可能不是您想要的,但要点是,信托政策描述了允许谁扮演这个角色,而不是角色可以访问的角色。
您可以创建另一个包含您的资源权限并将该策略附加到新角色的策略。