AWS 的 受管政策 AWS Lambda - AWS Lambda
AWSLambda_FullAccessAWSLambda_ReadOnlyAccessAWSLambdaBasicExecutionRoleAWSLambdaBasicDurableExecutionRolePolicyAWSLambdaDynamoDBExecutionRoleAWSLambdaENIManagementAccessAWSLambdaInvocation-DynamoDBAWSLambdaKinesisExecutionRoleAWSLambdaMSKExecutionRoleAWSLambdaRoleAWSLambdaSQSQueueExecutionRoleAWSLambdaVPCAccessExecutionRoleAWSLambdaManagedEC2ResourceOperatorAWSLambdaServiceRolePolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 的 受管政策 AWS Lambda

AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。

如需詳細資訊,請參閱 IAM 使用者指南中的 AWS 受管政策

AWS 受管政策:AWSLambda_FullAccess

此政策也會授予完整存取權給 Lambda 動作。它還將許可授予用於開發和維護 Lambda 資源的其他 AWS 服務。

您可以將 AWSLambda_FullAccess 政策連接至使用者、群組與角色。

許可詳細資訊

此政策包含以下許可:

  • lambda:允許委託人完整存取 Lambda。

  • cloudformation – 允許主體描述 AWS CloudFormation 堆疊並列出這些堆疊中的資源。

  • cloudwatch:允許委託人列出 Amazon CloudWatch 指標並取得指標資料。

  • ec2:允許委託人描述安全群組、子網路和 VPC。

  • iam:允許委託人取得政策、政策版本、角色、角色政策、連接角色政策以及角色清單。此政策也允許委託人將角色傳遞給 Lambda。將執行角色指派給函數時,便會使用 PassRole 許可。建立服務連結角色時,會使用 CreateServiceLinkedRole許可。

  • kms – 允許主體列出別名並描述磁碟區加密的金鑰。

  • logs:允許主體描述日誌串流、取得日誌事件、篩選日誌事件,以及開始和停止 Live Tail 工作階段。

  • states – 允許主體描述和列出 AWS Step Functions 狀態機器。

  • tag:允許委託人根據其標籤取得資源。

  • xray – 允許主體取得 AWS X-Ray 追蹤摘要,並擷取 ID 指定的追蹤清單。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambda_FullAccess

AWS 受管政策:AWSLambda_ReadOnlyAccess

此政策授予對 Lambda 資源和用於開發和維護 Lambda 資源之其他服務 AWS 的唯讀存取權。

您可以將 AWSLambda_ReadOnlyAccess 政策連接至使用者、群組與角色。

許可詳細資訊

此政策包含以下許可:

  • lambda:允許委託人取得和列出所有資源。

  • cloudformation – 允許主體描述和列出 AWS CloudFormation 堆疊,並列出這些堆疊中的資源。

  • cloudwatch:允許委託人列出 Amazon CloudWatch 指標並取得指標資料。

  • ec2:允許委託人描述安全群組、子網路和 VPC。

  • iam:允許委託人取得政策、政策版本、角色、角色政策、連接角色政策以及角色清單。

  • kms:允許委託人列出別名。

  • logs:允許主體描述日誌串流、取得日誌事件、篩選日誌事件,以及開始和停止 Live Tail 工作階段。

  • states – 允許主體描述和列出 AWS Step Functions 狀態機器。

  • tag:允許委託人根據其標籤取得資源。

  • xray – 允許主體取得 AWS X-Ray 追蹤摘要,並擷取 ID 指定的追蹤清單。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambda_ReadOnlyAccess

AWS 受管政策:AWSLambdaBasicExecutionRole

此政策授予將日誌上傳至 CloudWatch Logs 的許可。

您可以將 AWSLambdaBasicExecutionRole 政策連接至使用者、群組與角色。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambdaBasicExecutionRole

AWS 受管政策:AWSLambdaBasicDurableExecutionRolePolicy

此政策提供 CloudWatch Logs 的寫入許可,以及 Lambda 耐用函數使用的耐久執行 APIs讀取/寫入許可。此政策提供 Lambda 耐用函數所需的基本許可,其使用耐用APIs 來保留進度,並維持函數叫用之間的狀態。

您可以將 AWSLambdaBasicDurableExecutionRolePolicy 政策連接至使用者、群組與角色。

許可詳細資訊

此政策包含以下許可:

  • logs – 允許主體建立日誌群組和日誌串流,並將日誌事件寫入 CloudWatch Logs。

  • lambda – 允許主體檢查持久性執行狀態,並擷取 Lambda 持久性函數的持久性執行狀態。

若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 AWS 受管政策參考指南》中的 AWSLambdaBasicDurableExecutionRolePolicy

AWS 受管政策:AWSLambdaDynamoDBExecutionRole

此政策授予從 Amazon DynamoDB 串流讀取記錄和寫入 CloudWatch Logs 的許可。

您可以將 AWSLambdaDynamoDBExecutionRole 政策連接至使用者、群組與角色。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambdaDynamoDBExecutionRole

AWS 受管政策:AWSLambdaENIManagementAccess

此政策授予建立、描述和刪除已啟用 VPC 之 Lambda 函數所使用之彈性網路界面的許可。

您可以將 AWSLambdaENIManagementAccess 政策連接至使用者、群組與角色。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambdaENIManagementAccess

AWS 受管政策:AWSLambdaInvocation-DynamoDB

此政策授予 Amazon DynamoDB Streams 的讀取存取權。

您可以將 AWSLambdaInvocation-DynamoDB 政策連接至使用者、群組與角色。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambdaInvocation-DynamoDB

AWS 受管政策:AWSLambdaKinesisExecutionRole

此政策授予從 Amazon Kinesis 資料串流讀取事件和寫入 CloudWatch Logs 的許可。

您可以將 AWSLambdaKinesisExecutionRole 政策連接至使用者、群組與角色。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambdaKinesisExecutionRole

AWS 受管政策:AWSLambdaMSKExecutionRole

此政策授予從 Amazon Managed Streaming for Apache Kafka 叢集中讀取和存取記錄、管理彈性網絡界面,以及寫入 CloudWatch Logs 的許可。

您可以將 AWSLambdaMSKExecutionRole 政策連接至使用者、群組與角色。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambdaMSKExecutionRole

AWS 受管政策:AWSLambdaRole

此政策授予調用 Lambda 函數的許可。

您可以將 AWSLambdaRole 政策連接至使用者、群組與角色。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambdaRole

AWS 受管政策:AWSLambdaSQSQueueExecutionRole

此政策授予從 Amazon Simple Queue Service 佇列中讀取和刪除訊息以及寫入 CloudWatch Logs 的許可。

您可以將 AWSLambdaSQSQueueExecutionRole 政策連接至使用者、群組與角色。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambdaSQSQueueExecutionRole

AWS 受管政策:AWSLambdaVPCAccessExecutionRole

此政策授予在 Amazon Virtual Private Cloud 中管理彈性網路界面和寫入 CloudWatch Logs 的許可。

您可以將 AWSLambdaVPCAccessExecutionRole 政策連接至使用者、群組與角色。

如需有關此政策的詳細資訊 (包括 JSON 政策文件和政策版本),請參閱《AWS 受管政策參考指南》中的 AWSLambdaVPCAccessExecutionRole

AWS 受管政策:AWSLambdaManagedEC2ResourceOperator

此政策可為 Lambda 容量提供者啟用自動化 Amazon Elastic Compute Cloud 執行個體管理。它將許可授予 Lambda 擴展器服務,以代表您執行執行個體生命週期操作。

您可以將 AWSLambdaManagedEC2ResourceOperator 政策連接至使用者、群組與角色。

許可詳細資訊

此政策包含以下許可:

  • ec2:RunInstances – 允許 Lambda 以 ec2:ManagedResourceOperator 等於 scaler.lambda.amazonaws.com 的條件啟動新的 Amazon EC2 執行個體,並將 AMI 用量限制為僅限 Amazon 擁有的映像。

  • ec2:DescribeInstancesec2:DescribeInstanceStatus – 允許 Lambda 監控執行個體狀態並擷取執行個體資訊。

  • ec2:CreateTags – 允許 Lambda 為管理和識別目的標記 Amazon EC2 資源。

  • ec2:DescribeAvailabilityZones – 允許 Lambda 檢視執行個體置放決策的可用區域。

  • ec2:DescribeCapacityReservations – 允許 Lambda 檢查容量保留,以獲得最佳執行個體放置。

  • ec2:DescribeInstanceTypesec2:DescribeInstanceTypeOfferings – 允許 Lambda 檢閱可用的執行個體類型及其方案。

  • ec2:DescribeSubnets – 允許 Lambda 檢查子網路組態以進行網路規劃。

  • ec2:DescribeSecurityGroups – 允許 Lambda 擷取網路介面組態的安全群組資訊。

  • ec2:CreateNetworkInterface – 允許 Lambda 建立網路介面和管理子網路和安全群組關聯。

  • ec2:AttachNetworkInterface – 允許 Lambda 將網路介面連接到條件ec2:ManagedResourceOperator等於 scaler.lambda.amazonaws.com 的 Amazon EC2 執行個體。

如需此政策的詳細資訊,包括 JSON 政策文件和政策版本,請參閱《 AWS 受管政策參考指南》中的 AWSLambdaManagedEC2ResourceOperator

AWS 受管政策:AWSLambdaServiceRolePolicy

此政策會連接到名為 AWSServiceRoleForLambda 的服務連結角色,以允許 Lambda 終止做為 Lambda 容量提供者一部分管理的執行個體。

許可詳細資訊

此政策包含以下許可:

  • ec2:TerminateInstances – 允許 Lambda 終止條件為 ec2:ManagedResourceOperator 等於 scaler.lambda.amazonaws.com 的 EC2 執行個體。

  • ec2:DescribeInstanceStatusec2:DescribeInstances – 允許 Lambda 描述 EC2 執行個體。

如需此政策的詳細資訊,請參閱使用 Lambda 的服務連結角色

AWS 受管政策的 Lambda 更新

變更 描述 Date

AWSLambdaManagedEC2ResourceOperator – 新政策

Lambda 新增了新的受管政策,為 Lambda 容量提供者啟用自動化 Amazon EC2 執行個體管理,允許擴展器服務執行執行個體生命週期操作。

 2025 年 11 月 30 日

AWSLambdaServiceRolePolicy – 新政策

Lambda 新增了服務連結角色的新受管政策,以允許 Lambda 終止作為 Lambda 容量提供者一部分受管執行個體。

 2025 年 11 月 30 日

AWSLambda_FullAccess – 變更

Lambda 已更新AWSLambda_FullAccess政策,以允許 kms:DescribeKeyiam:CreateServiceLinkedRole動作。

 2025 年 11 月 30 日

AWSLambdaBasicDurableExecutionRolePolicy – 新受管政策

Lambda 發佈了新的受管政策AWSLambdaBasicDurableExecutionRolePolicy,為 CloudWatch Logs 提供寫入許可,並為 Lambda 耐用函數使用的耐用執行 APIs提供讀取/寫入許可。

 2025 年 12 月 1 日

AWSLambda_ReadOnlyAccessAWSLambda_FullAccess:變更

Lambda 更新了 AWSLambda_ReadOnlyAccessAWSLambda_FullAccess 政策,允許 logs:StartLiveTaillogs:StopLiveTail 動作。

 2025 年 3 月 17 日

AWSLambdaVPCAccessExecutionRole:變更

Lambda 更新了 AWSLambdaVPCAccessExecutionRole 政策以允許動作 ec2:DescribeSubnets

 2024 年 1 月 5 日

AWSLambda_ReadOnlyAccess:變更

Lambda 已更新AWSLambda_ReadOnlyAccess政策,允許主體列出 CloudFormation 堆疊。

 2023 年 7 月 27 日

AWS Lambda 開始追蹤變更

AWS Lambda 已開始追蹤其 AWS 受管政策的變更。

 2023 年 7 月 27 日