Uso de perfis vinculados ao serviço para o Lambda
O Lambda usa perfis vinculados a serviços do AWS Identity and Access Management (IAM). O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Lambda. Os perfis vinculados ao serviço são definidos previamente pelo Lambda e incluem as permissões necessárias para o serviço chamar outros serviços da AWS em seu nome.
O Lambda define as permissões dos perfis vinculados a serviços e somente o Lambda pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Lambda, pois não é possível remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Perfis vinculados aos serviços. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.
Permissões de perfil vinculado ao serviço para o Lambda
O Lambda usa o perfil vinculado a serviço chamado AWSServiceRoleForLambda. O perfil vinculado ao serviço confia nos seguintes serviços para aceitar o perfil:
-
lambda.amazonaws.com
A política de permissões de perfil chamada AWSLambdaServiceRolePolicy permite que o Lambda conclua as ações a seguir nos recursos especificados:
-
Ação:
ec2:TerminateInstancesemarn:aws:ec2:*:*:instance/*com a condição queec2:ManagedResourceOperatorseja igual ascaler.lambda.amazonaws.com -
Ação:
ec2:DescribeInstanceStatuseec2:DescribeInstancesem*.
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte Permissões do perfil vinculado a serviço no Guia do usuário do IAM.
Para atualizações de políticas gerenciadas, consulte Políticas gerenciadas do Lambda.
Criação de u perfil vinculado a serviço para o Lambda
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um provedor de capacidade do Lambda no Console de gerenciamento da AWS, na AWS CLI ou com a API da AWS, o Lambda cria o perfil vinculado ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um provedor de capacidade do Lambda, o Lambda cria o perfil vinculado ao serviço para você novamente.
Também é possível usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso AWSServiceRoleForLambda. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço lambda.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
Edição de perfil vinculado ao serviço para o Lambda
O Lambda não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForLambda. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.
Exclusão de um perfil vinculado a serviço para o Lambda
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
nota
Se o serviço do Lambda estiver usando o perfil quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir os recursos do Lambda utilizados por AWSServiceRoleForLambda
-
Remova todos os provedores de capacidade do Lambda da sua conta. É possível fazer isso usando o console, a CLI ou a API do Lambda.
-
Verifique se nenhum provedor de capacidade do Lambda permanece em sua conta antes de tentar excluir o perfil vinculado ao serviço.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForLambda. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões com suporte a perfis vinculados a serviço do Lambda
O Lambda não oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões onde o serviço está disponível. Há suporte para o AWSServiceRoleForLambda nas regiões a seguir.
| Nome da região | Identidade da região | Suporte no Lambda |
|---|---|---|
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (Norte da Califórnia) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| África (Cidade do Cabo) | af-south-1 | Não |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Sim |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Sim |
| Ásia-Pacífico (Bangkok) | ap-southeast-7 | Sim |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Não |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Não |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Canadá (Central) | ca-central-1 | Não |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Europa (Milão) | eu-south-1 | Não |
| Europa (Paris) | eu-west-3 | Não |
| Europa (Estocolmo) | eu-north-1 | Não |
| Oriente Médio (Barém) | me-south-1 | Não |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Não |
| América do Sul (São Paulo) | sa-east-1 | Não |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Não |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Não |
