本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 传递角色权限
<a name="pass-role"></a>

规则定义的一部分是 IAM 角色，该角色授予对规则操作中指定的资源的访问权限。当调用规则的操作时，规则引擎会代入该角色。角色的定义必须与规则 AWS 账户 相同。

在创建或替换规则时，您实际上将角色提交到规则引擎中。无需 `iam:PassRole` 权限即可执行该操作。为验证您拥有该权限，您需要创建一个策略以便授予 `iam:PassRole` 权限，并将其附加到您的 IAM 用户。以下策略介绍了如何向角色提供 `iam:PassRole` 权限。

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "Stmt1",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::123456789012:role/myRole"
			]
		}
	]
}
```

在此策略示例中，将 `iam:PassRole` 权限授予了角色 `myRole`。该角色使用角色的 ARN 指定。将此策略附加到您的 IAM 用户或用户所属的角色。有关更多信息，请参阅[使用管理的策略](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_managed-using.html)。

**注意**  
Lambda 函数使用基于资源的策略，该策略直接附加至 Lambda 函数本身。在您创建调用 Lambda 函数的规则时，您未传递角色，因此创建规则的用户无需 `iam:PassRole` 权限。有关 Lambda 函数授权的更多信息，请参阅[使用资源策略授予权限](https://docs.aws.amazon.com/lambda/latest/dg/intro-permission-model.html#intro-permission-model-access-policy)。