AWS Lambda - 为函数定义的角色不能由 Lambda 承担

Question

我正在尝试使用 iOS Swift 访问 Lambda 函数，这是我设置的 AWS 角色

1. 角色名称：ALLOW_LAMBDA_EXECUTE
   • 具有对 AWS Lambda 完全访问权限、AWS Lambda 执行、AmazonCognitoDeveloperAuthenticatedIdentities 的策略访问权限
   • 信任关系：允许服务：lambda.amazonaws.com 并且条件具有“未经身份验证”的 Cognito 身份
2. Cognito 身份池：在未经身份验证的角色下具有角色 ALLOW_LAMBDA_EXECUTE
3. 未经身份验证的身份：已选中启用对未经身份验证的身份的访问
4. 在 Lambda 中，对于函数 GetProcess()，具有 ExecutionRole：ALLOW_LAMBDA_EXECUTION

所有这些，当我使用我的 iPhone 应用程序（带模拟器）执行相同操作时，我收到此错误。

"x-amzn-errortype" = **AccessDeniedException**;

-[AWSJSONResponseSerializer responseObjectForResponse:originalRequest:currentRequest:data:error:] | Response body:
**{"Message":"The role defined for the function cannot be assumed by Lambda."}**

我错过了什么吗？

Answer 1

您似乎将您的 Cognito 角色配置为由 Lambda 承担。

您必须为角色ALLOW_LAMBDA_EXECUTION 设置以下Trust Relationship 不 ALLOW_LAMBDA_EXECUTE：

{
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Service": "lambda.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
  }
}

Answer 2

经过深思熟虑，浏览了多个文档并做了一些 RnD，事情开始奏效了。

是的，信任关系应该有 lambda execute 和 Action: sts:AssumeRoleWithWebIdentity 并且它应该有条件

{
"Version": "2018-1-30",
"Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Federated": "cognito-identity.amazonaws.com",
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "cognito-identity.amazonaws.com:aud": "identity-pool"
        },
        "ForAnyValue:StringLike": {
          "cognito-identity.amazonaws.com:amr": "unauthenticated"
        }
      }
    }
  ]
}

现在，这不适用于 Lambdas 角色，因为它无法承担该角色，我认为这是有道理的，因为它没有这样做的能力。

因此我创建了 2 个不同的角色 角色 1- 具有分配给 Cognito 联合身份访问权限的上述信任关系 角色 2 - 分配给 Lambda 角色的信任关系没有变化。

现在我的 iOS 访问都适用于 cognito 身份和 AWS APIMicroServices...

确实需要一段时间才能破解它。