View a markdown version of this page

身份和访问管理 (IAM) Access Management | 创建 Lambda 执行角色 - AMS 高级更改类型参考
更改类型详情附加信息执行输入参数示例:必填参数示例:所有参数

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

身份和访问管理 (IAM) Access Management | 创建 Lambda 执行角色

创建一个 Lambda 执行角色以与 Lambda 函数配合使用。参数中指定的每个 ARN 都会创建 IAM 策略的一部分。使用预览选项查看已完成、生成的策略在创建和实施之前的样子。

完整分类:部署 | 高级堆栈组件 | 身份和访问管理 (IAM) | 创建 Lambda 执行角色

更改类型详情

更改类型 ID

ct-1k3oui719dcju

当前版本

2.0

预期执行时长

360 分钟

AWS 批准

必需

客户批准

非必需

执行模式

自动

附加信息

创建 IAM Lambda 执行角色

工作原理:

  1. 导航到创建 RFC 页面:在 AMS 控制台的左侧导航窗格中,单击RFCs打开 RFCs 列表页面,然后单击创建 R FC。

  2. 在默认的 “浏览更改类型” 视图中选择常用更改类型 (CT),或者在 “按类别选择” 视图中选择 CT。

    • 按更改类型浏览:您可以单击 “快速创建” 区域中的常用 CT,立即打开 “运行 RFC” 页面。请注意,您不能使用快速创建来选择较旧的 CT 版本。

      要进行排序 CTs,请使用卡片视图或表格视图中的所有更改类型区域。在任一视图中,选择一个 CT,然后单击 “创建 RFC” 打开 “运行 RFC” 页面。如果适用,“创建 RFC” 按钮旁边会显示 “使用旧版本创建” 选项。

    • 按类别选择:选择类别、子类别、项目和操作,CT 详细信息框将打开,并显示 “使用旧版本创建” 选项(如果适用)。单击 “创建 RFC” 打开 “运行 RFC” 页面。

  3. 在 “运行 RFC” 页面上,打开 CT 名称区域以查看 CT 详细信息框。必须填写主题(如果您在 “浏览更改类型” 视图中选择 CT,则会为您填写此主题)。打开其他配置区域以添加有关 RFC 的信息。

    执行配置区域中,使用可用的下拉列表或输入所需参数的值。要配置可选的执行参数,请打开其他配置区域。

  4. 完成后,单击 “运行”。如果没有错误,则会显示成功创建的 RFC 页面,其中包含已提交的 RFC 详细信息和初始运行输出。

  5. 打开运行参数区域以查看您提交的配置。刷新页面以更新 RFC 的执行状态。(可选)取消 RFC 或使用页面顶部的选项创建一个 RFC 的副本。

工作原理:

  1. 使用 Inline Create(您发出包含所有 RFC 和执行参数的create-rfc命令)或模板创建(创建两个 JSON 文件,一个用于 RFC 参数,一个用于执行参数),然后以这两个文件作为输入发出create-rfc命令。这里描述了这两种方法。

  2. 提交带有返回的 RFC ID 的 RFC: aws amscm submit-rfc --rfc-id ID 命令。

    监控 RFC: aws amscm get-rfc --rfc-id ID 命令。

要检查更改类型版本,请使用以下命令:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
注意

您可以将任何CreateRfc参数与任何 RFC 一起使用,无论它们是否属于变更类型的架构的一部分。例如,要在 RFC 状态更改时收到通知,请将此行添加到请求的 RFC 参数部分(不是执行参数)。--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"有关所有 CreateRfc 参数的列表,请参阅《AMS 变更管理 API 参考》。

内联创建(仅限必填参数)

使用内联提供的执行参数(内联提供执行参数时使用转义引号)发出 create RFC 命令,然后提交返回的 RFC ID。例如,你可以用这样的东西替换内容:

aws amscm create-rfc --change-type-id "ct-1k3oui719dcju" --change-type-version "2.0" --title "Create IAM Lambda Execution Role" --execution-parameters "{\"DocumentName\":\"AWSManagedServices-HandleCreateIAMRole-Admin\",\"Region\":\"us-east-1\",\"Parameters\":{\"ServicePrincipal\":[\"lambda.amazonaws.com\"],\"RoleName\":[\"test-application-ec2-instance-profile\"],\"LambdaFunctionArns": [\"arn:aws:lambda:us-east-1:123456789012:function:testing\"}}"

模板创建(所有参数)

  1. 将此更改类型的执行参数 JSON 架构输出到文件中;示例将其命名为 CreateIamLambdaExeRoleParams .json:

    aws amscm get-change-type-version --change-type-id "ct-1k3oui719dcju" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamLambdaExeRoleParams.json

  2. 修改并保存 CreateIamLambdaExeRoleParams 文件;示例创建一个 IAM 角色,其中策略文档以内联方式粘贴。

    {
  "DocumentName": "AWSManagedServices-HandleCreateIAMRole-Admin",
  "Region": "us-east-1",
  "Parameters": {
     "ServicePrincipal" : "lambda.amazonaws.com",
     "RoleName" : "customer_lambda_execution_role",
     "VPCAccess" : "No",
     "Preview" : "No",
     "LambdaFunctionArns": ["arn:aws:lambda:us-east-1:123456789012:function:dabba"]
  }
}

  3. 将 RFC 模板 JSON 文件输出到名为 CreateIamLambdaExeRoleRfc .json 的文件中:

    aws amscm create-rfc --generate-cli-skeleton > CreateIamLambdaExeRoleRfc.json

  4. 修改并保存 CreateIamLambdaExeRoleRfc .json 文件。例如,你可以用这样的东西替换内容:

    {
"ChangeTypeVersion": "2.0",
"ChangeTypeId": "ct-1k3oui719dcju",
"Title": "Create IAM Lambda Execution Role"
}

  5. 创建 RFC,指定 CreateIamLambdaExeRoleRfc 文件和 CreateIamLambdaExeRoleParams 文件:

    aws amscm create-rfc --cli-input-json file://CreateIamLambdaExeRoleRfc.json  --execution-parameters file://CreateIamLambdaExeRoleParams.json

    您在响应中收到新 RFC 的 ID,并可以使用它来提交和监控 RFC。在您提交之前,RFC 仍处于编辑状态且无法启动。

注意

此更改类型现在是 2.0 版,对创建 RFC 控制台体验进行了改进,此更改使复制和粘贴 JSON 变得更加容易。

有关更多信息 AWS Identity and Access Management,请参阅 AWS Identity and Access 管理 (IAM)

执行输入参数

有关执行输入参数的详细信息,请参见变更架构类型 ct-1k3oui719dcju

示例:必填参数

{
  "DocumentName" : "AWSManagedServices-HandleCreateIAMRole-Admin",
  "Region" : "us-east-1",
  "Parameters" : {
    "ServicePrincipal" : "lambda.amazonaws.com",
    "RoleName" : "customer_lambda_execution_role",
    "VPCAccess" : "No",
    "Preview" : "No",
    "LambdaFunctionArns": ["arn:aws:lambda:us-east-1:083904590739:function:dabba"]
  }
}

示例:所有参数

{
  "DocumentName" : "AWSManagedServices-HandleCreateIAMRole-Admin",
  "Region" : "us-east-1",
  "Parameters": {
    "ServicePrincipal": "lambda.amazonaws.com",
    "RoleName" : "customer_lambda_execution_role",
    "RolePath": "/test/",
    "Preview": "No",
    "LambdaFunctionArns": ["arn:aws:lambda:us-east-1:083904590739:function:dabba"],
    "VPCAccess": "Yes",
    "CloudWatchAlarmReadAccess": ["arn:aws:cloudwatch:us-east-1:123456789012:alarm:myalarm*"],
    "CloudWatchAlarmWriteAccess": ["arn:aws:cloudwatch:us-east-1:123456789012:alarm:myalarm*"],
    "CloudWatchLogsReadAccess": ["arn:aws:logs:us-east-1:123456789012:log-group:myparam*:log-stream:mylogstream"],
    "CloudWatchLogsWriteAccess": ["arn:aws:logs:us-east-1:123456789012:log-group:mylogs*"],
    "CloudWatchMetricsReadAccess": ["*"],
    "CloudWatchMetricsWriteAccess": ["Company/AppMetric"],
    "DynamoDBDataReadWriteAccess": ["arn:aws:dynamodb:us-east-1:123456789012:table/mytable*"],
    "DynamoDBResourceReadAccess": ["arn:aws:dynamodb:us-east-1:123456789012:table/anotherTable"],
    "KMSCryptographicOperationAccess": ["arn:aws:kms:us-east-1:123456789012:key/97f43232-6bdc-4830-b54c-2d2926ba69aa"],
    "KMSReadAccess": ["arn:aws:kms:us-east-1:123456789012:key/97f43232-6bdc-4830-b54c-2d2926ba69aa"],
    "S3ReadAccess": ["arn:aws:s3:::my-s3-us-east-1/*"],
    "S3WriteAccess": ["arn:aws:s3:::my-s3-ap-southeast-2/developers/design_info.doc"],
    "SNSReadAccess": ["arn:aws:sns:us-east-1:123456789012:mytopic*"],
    "SNSWriteAccess": ["arn:aws:sns:us-east-1:123456789012:MyTopic*"],
    "SQSReadAccess": ["arn:aws:sqs:us-east-1:123456789012:Myqueue*"],
    "SQSWriteAccess": ["arn:aws:sqs:us-east-1:123456789012:MyQueeu*"],
    "SSMReadAccess": ["arn:aws:ssm:us-east-1:123456789012:parameter/myparam*"],
    "SSMWriteAccess": ["arn:aws:ssm:us-east-1:123456789012:parameter/myparam*"],
    "LambdaReadAccess" : ["arn:aws:lambda:us-east-1:083904590739:function:dabba"],
    "LambdaInvokeAccess" : ["arn:aws:lambda:us-east-1:083904590739:function:dabba"],
    "EventsReadAccess" : ["arn:aws:events:us-east-1:083904590739:rule/rule01"],
    "EventsWriteAccess" : ["arn:aws:events:us-east-1:083904590739:event-bus/bus01"],
    "STSAssumeRole": ["arn:aws:iam::123456789012:role/roleName"],
    "SecretsManagerReadAccess": ["arn:aws:secretsmanager:us-east-1:123456789012:secret:mysecret*"],
    "AdditionalPolicy" : "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Action\":[\"iam:ListRoles\",\"iam:ListAccountAliases\"],\"Resource\":\"*\"}]}"
  }
}