Definizione dei criteri AWSLambdaExecute

Prefazione: Non chiedo aiuto per la configuration. Il mio caso d'uso è coperto e funziona bene. Questa è una questione teorica.

Su AWS c'è una politica denominata AWSLambdaExecute che è definita come segue:

 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:*" ], "Resource": "arn:aws:logs:*:*:*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::*" } ] } 

Questa definizione mi dice:

  • Accesso completo a tutti i registri
  • Può scaricare / caricare su S3.

Qual è il ragionamento dietro questo? Perché parlano di S3? (La mia particolare lambda invoca non ha nulla a che vedere con S3.) Conosciamo qualunque documentazione dettagliata su politiche predefinite diverse dalle descrizioni one-liner di ciascuno?

  • Linux: crea file e directory, ma non li elimina
  • È normale accordare all'amministratore degli utenti il ​​proprio PC aziendale?
  • Permettere al gruppo non autorizzato di accedere alla condivisione - Windows 7
  • Accesso a solo lettura MYSQL, come posso impostarlo?
  • Configurazione corretta delle autorizzazioni utente per OpenSSH su Windows?
  • IIS 7.5 e le autorizzazioni del sito web
  • Autorizzazioni NTFS di controllo con PowerShell
  • È necessario un riavvio per aggiornare le autorizzazioni dopo l'aggiunta di un utente a un nuovo gruppo?
  • One Solution collect form web for “Definizione dei criteri AWSLambdaExecute”

    Se la tua function non ha nulla a che fare con S3, quindi non utilizzare questa policy gestita. Per quanto posso vedere questa politica è utilizzata nella documentazione in combinazione con un tutorial su come utilizzare Lambda con Amazon S3.

    Fonte: https://docs.aws.amazon.com/lambda/latest/dg/with-s3-example-create-iam-role.html

    Se si desidera utilizzare una politica gestita, consiglio di utilizzare AWSLambdaBasicExecutionRole che sembra contenere solo il minimo:

     { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] } 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.