我意识到这是很新的,但是我看不到任何语言的示例,您如何指定使用AWS CDK创建的lambda的角色。
我正在尝试这样做
const cdk = require('@aws-cdk/cdk');
const lambda = require('@aws-cdk/aws-lambda');
const iam = require('@aws-cdk/aws-iam');
const path = require('path');
class MyStack extends cdk.Stack {
constructor (parent, id, props) {
super(parent, id, props);
//
// Create a lambda...
const fn = new lambda.Function(this, 'MyFunction-cdktest', {
runtime: lambda.Runtime.NodeJS810,
handler: 'index.handler',
code: lambda.Code.directory( path.join( __dirname, 'lambda')),
role: iam.RoleName('lambda_basic_execution')
});
}
}
class MyApp extends cdk.App {
constructor (argv) {
super(argv);
new MyStack(this, 'hello-cdk');
}
}
console.log(new MyApp(process.argv).run());
以便尝试为该功能指定现有的IAM角色,但这似乎不是正确的语法。我也可以(或者甚至更喜欢)在此lambda上即时生成自定义角色,但我也没有任何有关如何执行此操作的示例。
有人对如何实现这一目标有任何见识吗?
答案 0 :(得分:4)
即使lambda带有IAM角色,您也可以为lambda创建自定义角色。您只需要确保为其分配了正确的最低必需权限即可。
您可以创建这样的角色:
const customRole = new Role(this, 'customRole', {
roleName: 'customRole',
assumedBy: new ServicePrincipal('lambda.amazonaws.com'),
managedPolicies: [
ManagedPolicy.fromAwsManagedPolicyName("service-role/AWSLambdaVPCAccessExecutionRole"),
ManagedPolicy.fromAwsManagedPolicyName("service-role/AWSLambdaBasicExecutionRole")
]
})
如果lambda不需要在VPC中,则可以跳过AWSLambdaVPCAccessExecutionRole。
并将此角色分配给lambda函数:
const lambda = new lambda.Function(this, 'lambda', {
runtime:....,
code:...,
role: customRole,
handler:....,
memorySize:...,
timeout:....,
vpc:...,
environment: {
....
}
});
答案 1 :(得分:3)
Lambda已经具有执行角色,并且已经具有基本执行权限。如果要为其角色添加其他权限,请执行以下操作:
lambda.addToRolePolicy(new cdk.PolicyStatement()
.addResource('arn:aws:....')
.addAction('s3:GetThing'));
或者更好的是,使用便利功能之一来获得对某些资源的权限:
bucket.grantRead(lambda.role);
答案 2 :(得分:0)
@ rix0rrr接受的答案不再起作用。 CDK似乎得到了一些更新。当前版本是
"@aws-cdk/core": "^1.1.0"
更新的代码:
import iam = require("@aws-cdk/aws-iam");
const statement = new iam.PolicyStatement();
statement.addActions("lambda:InvokeFunction");
statement.addResources("*");
lambda.addToRolePolicy(statement);
答案 3 :(得分:0)
比尔的答案有效,但这是另一种方式:
import iam = require("@aws-cdk/aws-iam");
lambda.addToRolePolicy(new iam.PolicyStatement({
effect: iam.Effect.ALLOW,
actions: [ 'lambda:InvokeFunction' ],
resources: [ '*' ]
}));
答案 4 :(得分:0)
我遇到了类似的情况,并找到了答案
import * as lambda from '@aws-cdk/aws-lambda';
import iam = require("@aws-cdk/aws-iam");
// define lambda fucntion
const lambdaFunction = new lambda.Function(this, 'my-lambda', {
code: this.lambdaCode,
functionName: 'athena-gateway',
handler: 'index.handler',
runtime: lambda.Runtime.NODEJS_12_X,
timeout: Duration.minutes(14)
});
// provide athena,s3 access to lambda function
const athenaAccessPolicy = new iam.PolicyStatement({
effect: iam.Effect.ALLOW,
actions: [
"s3:*",
"athena:*" ]
});
athenaAccessPolicy.addAllResources();
lambdaFunction.addToRolePolicy(athenaAccessPolicy)
答案 5 :(得分:0)
我没有在 lambda 创建过程中添加角色,但是接下来的代码允许 lambda 访问在另一个 CDK 中创建的外部角色:
lambdaFn.addToRolePolicy(new iam.PolicyStatement({
effect: iam.Effect.ALLOW,
actions: [ "sts:AssumeRole" ],
resources: [externalRoleArn]
}))