Arbeiten mit AWS-verwalteten Richtlinien in der Ausführungsrolle

Die folgenden AWS-verwalteten Richtlinien bieten Berechtigungen, die für die Nutzung von Lambda-Funktionen erforderlich sind:

Änderung	Beschreibung	Datum
AWSLambdaMSKExecutionRole – Lambda hat die kafka:DescribeClusterV2-Berechtigung für diese Richtlinie hinzugefügt.	`AWSLambdaMSKExecutionRole` erteilt Berechtigungen zum Lesen von und Zugreifen auf Datensätze aus einem Amazon Managed Streaming for Apache Kafka (Amazon MSK)-Cluster, zum Verwalten von Elastic-Network-Schnittstellen (ENIs) und zum Schreiben in CloudWatch Logs.	17. Juni 2022
AWSLambdaBasicExecutionRole – Lambda hat begonnen, Änderungen an dieser Richtlinie zu verfolgen.	`AWSLambdaBasicExecutionRole` erteilt Berechtigungen, um Protokolle auf CloudWatch hochzuladen.	14. Februar 2022
AWSLambdaDynamoDBExecutionRole – Lambda hat begonnen, Änderungen an dieser Richtlinie zu verfolgen.	`AWSLambdaDynamoDBExecutionRole` erteilt Berechtigungen zum Lesen von Datensätzen aus einem Amazon-DynamoDB-Stream und zum Schreiben in CloudWatch Logs.	14. Februar 2022
AWSLambdaKinesisExecutionRole – Lambda hat begonnen, Änderungen an dieser Richtlinie zu verfolgen.	`AWSLambdaKinesisExecutionRole` erteilt Berechtigungen zum Lesen von Datensätzen aus einem Amazon-Kinesis-Daten-Stream und zum Schreiben in CloudWatch Logs.	14. Februar 2022
AWSLambdaMSKExecutionRole – Lambda hat begonnen, Änderungen an dieser Richtlinie zu verfolgen.	`AWSLambdaMSKExecutionRole` erteilt Berechtigungen zum Lesen von und Zugreifen auf Datensätze aus einem Amazon Managed Streaming for Apache Kafka (Amazon MSK)-Cluster, zum Verwalten von Elastic-Network-Schnittstellen (ENIs) und zum Schreiben in CloudWatch Logs.	14. Februar 2022
AWSLambdaSQSQueueExecutionRole – Lambda hat begonnen, Änderungen an dieser Richtlinie zu verfolgen.	`AWSLambdaSQSQueueExecutionRole` erteilt Berechtigungen zum Lesen einer Nachricht aus einer Amazon Simple Queue Service (Amazon SQS)-Warteschlange und zum Schreiben in CloudWatch Logs.	14. Februar 2022
AWSLambdaVPCAccessExecutionRole – Lambda hat begonnen, Änderungen an dieser Richtlinie zu verfolgen.	`AWSLambdaVPCAccessExecutionRole` erteilt Berechtigungen zum Verwalten von ENIs innerhalb einer Amazon VPC und zum Schreiben in CloudWatch Logs.	14. Februar 2022
AWSXRayDaemonWriteAccess – Lambda hat begonnen, Änderungen an dieser Richtlinie zu verfolgen.	`AWSXRayDaemonWriteAccess` erteilt Berechtigungen zum Hochladen von Nachverfolgungsdaten auf X-Ray.	14. Februar 2022
CloudWatchLambdaInsightsExecutionRolePolicy – Lambda hat begonnen, Änderungen an dieser Richtlinie zu verfolgen.	`CloudWatchLambdaInsightsExecutionRolePolicy` erteilt Berechtigungen zum Schreiben von Laufzeitmetriken in CloudWatch Lambda Insights.	14. Februar 2022
AmazonS3ObjectLambdaExecutionRolePolicy – Lambda hat begonnen, Änderungen an dieser Richtlinie zu verfolgen.	`AmazonS3ObjectLambdaExecutionRolePolicy` erteilt Berechtigungen zur Interaktion mit dem Amazon Simple Storage Service (Amazon S3)-Objekt Lambda und zum Schreiben in CloudWatch Logs.	14. Februar 2022

Bei einigen Funktionen versucht die Lambda-Konsole, Ihrer Ausführungsrolle in einer vom Kunden verwalteten Richtlinie fehlende Berechtigungen hinzuzufügen. Diese Politiken können zahlreich werden. Fügen Sie der Ausführungsrolle die relevanten AWS-verwalteten Richtlinien hinzu, bevor Sie Funktionen aktivieren, um das Erstellen zusätzlicher Richtlinien zu vermeiden.

Wenn Sie eine Ereignisquellen-Zuweisung zum Aufrufen Ihrer Funktion verwenden, verwendet Lambda die Ausführungsrolle zum Lesen von Ereignisdaten. Zum Beispiel liest eine Ereignisquellen-Zuweisung für Kinesis-Ereignisse aus einem Datenstrom und sendet diese in Batches an Ihre Funktion.

Wenn ein Dienst eine Rolle in Ihrem Konto übernimmt, können Sie die globalen Bedingungskontextschlüssel aws:SourceAccount und aws:SourceArn in Ihrer Rollenvertrauensrichtlinie übernehmen, um den Zugriff auf die Rolle nur auf Anforderungen zu beschränken, die von erwarteten Ressourcen generiert werden. Weitere Informationen finden Sie unter Vermeidung des Problems des verwirrten Stellvertreters im dienstübergreifenden Szenario für AWS Security Token Service.

Zusätzlich zu den AWS-verwalteten Richtlinien stellt die Lambda-Konsole Vorlagen zum Erstellen einer benutzerdefinierten Richtlinie bereit, die Berechtigungen für weitere Anwendungsfälle beinhaltet. Wenn Sie eine Funktion in der Lambda-Konsole erstellen, haben Sie die Wahl, eine neue Ausführungsrolle mit Berechtigungen aus einer oder mehreren Vorlagen zu erstellen. Diese Vorlagen werden auch automatisch angewendet, wenn Sie eine Funktion von einer Vorlage erstellen oder wenn Sie Optionen konfigurieren, die Zugriff auf andere Services erfordern. Beispielvorlagen finden Sie im GitHub-Repository dieses Handbuchs.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktualisieren einer Ausführungsrolle

ARN der Quellfunktion