【问题标题】:Permission for IAM user to create lambda functionIAM 用户创建 lambda 函数的权限
【发布时间】:2019-04-07 06:57:48
【问题描述】:

提前感谢您的帮助!

因此,作为 root 用户,我可以设置 IAM 角色并使用它来创建和运行 lambda 函数。但是,我希望我的组织中的用户能够做到这一点。所以我设置了一些 IAM 用户并为他们分配了以下权限:

但是,当我以 IAM 用户身份登录 AWS 时,我似乎对创建角色/策略等(创建 lambda 函数所需的)无能为力。我收到以下错误:

用户:arn:aws:iam:::user/xxxxx 无权在资源上执行:iam:GetAccountSummary。

但我给用户 IAMFullAccess。这样做的正确方法是什么?

【问题讨论】:

  • 能否请您检查一下这是否是完整的错误信息?通常,它会说哪个资源被拒绝了。

标签: amazon-web-services aws-lambda amazon-iam


【解决方案1】:

首先,为用户分配对服务的“完全”访问权限时要非常小心。

根据您分配的这些权限,您的用户将能够:

  • 删除所有 RDS 数据库
  • 终止所有 EC2 实例
  • 删除所有 CodeCommit 存储库
  • 删除所有 Lambda 函数
  • 删除所有 IAM 用户(包括您的登录名!)
  • 授予自己在您的 AWS 账户上执行任何操作的权限!

最佳实践方法是让系统管理员创建 IAM 角色以供 Lambda 函数使用,然后对其进行审核以确认它没有授予过多权限。然后,他们将授予特定用户权限,以便能够将角色分配给 Lambda 函数。我认为没有理由仅仅为了编写 Lambda 函数而为他们分配所有这些权限(例如 RDS、EC2)。

其次,如果您希望将权限分配给多个 IAM 用户,最好将权限分配给一个 IAM 组,然后将该组与每个用户关联。这样,您可以在一个位置调整权限,而不必单独对每个用户进行调整。

至于您收到错误的原因,可能是通过对更高级别账户的 AWS Organizations 规则对您的账户进行了限制。否则,您似乎分配了相当大的权限,不应该收到此错误。

【讨论】:

  • 约翰,你没有回答问题
猜你喜欢
  • 2020-03-21
  • 2020-07-11
  • 2019-10-21
  • 2019-11-08
  • 1970-01-01
  • 2022-06-10
  • 2023-04-10
  • 1970-01-01
  • 2021-05-05
相关资源
最近更新 更多