我有一个具有身份验证角色的Cognito身份池,并按照以下策略应用了该策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"execute-api:Invoke"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:ab:asdf:function:b",
"Effect": "Allow"
}
]
}
我有一个应用了AWS_IAM授权的API网关资源。
现在,这仅允许调用1个特定的lambda函数。
但是,我能够调用其他lambda函数,不仅限于此函数。
当我尝试策略模拟器时,它指出其他功能将是denied,但事实并非如此。
我已经确认请求正在扮演正确的角色,这就是请求中通过的内容:
userArn: "arn:aws:sts::00000000:assumed-role/appAuthRole-dev/CognitoIdentityCredentials"
为什么会这样?