我正在研究一个系统,该系统允许用户通过向调用AWS Lambda函数的AWS API Gateway发出HTTP请求来访问,处理和检索S3数据。 S3路径可以是这些请求的参数。我试图找到一个IAM本机解决方案,该解决方案将使用lambda服务角色评估细粒度的S3权限(分配给我的用户),以确定运行时对象/存储桶级别的访问权限。
答案 0 :(得分:2)
不,这是不可能的。
API网关将触发AWS Lambda函数。向Lambda函数分配了IAM角色,该角色独立于进行呼叫的“谁”。
您需要将权限限制作为代码合并到Lambda函数中。 (例如,查找用户,确定他们可以做什么,然后确定代表他们进行哪些呼叫。)