IAM用户创建lambda函数的权限

Question

在此先感谢您的帮助！

因此，作为root用户，我能够设置IAM角色并将其用于创建和运行lambda函数。但是，我希望我的组织中的用户能够执行相同的操作。因此，我设置了一些IAM用户并为其分配了以下权限：

但是，当我以IAM用户身份登录到AWS时，似乎我对创建角色/策略等（创建lambda函数所需）无能为力。我收到以下错误：

  

用户：arn：aws：iam ::: user / xxxxx无权执行：iam：GetAccountSummary on resource。

但是我给用户IAMFullAccess。什么是正确的方法？

Answer 1

首先，在为用户分配对服务的“完全”访问权限时要非常小心。

从您分配的这些权限中，您的用户将能够：

• 删除所有RDS数据库
• 终止所有EC2实例
• 删除所有CodeCommit存储库
• 删除所有Lambda函数
• 删除所有IAM用户（包括您的登录！）
• 授予自己权限对您的AWS帐户执行任何操作！

最佳实践方法是让系统管理员在检查IAM角色以确认它没有给予过多许可后，创建供Lambda函数使用的IAM角色。然后，他们将为特定用户授予权限，以便能够将角色分配给Lambda函数。我没有理由仅仅为了编写Lambda函数而将所有这些权限（例如RDS，EC2）分配给他们。

第二，如果您希望为多个IAM用户分配权限，最好将权限分配给 IAM组，然后将该组与每个用户相关联。这样，您可以在一个位置调整权限，而不必分别对每个用户进行操作。

关于您为什么收到此错误，可能是通过高级帐户上的 AWS Organizations 规则对您的帐户进行限制的。否则，您似乎已分配了足够的权限，因此不应收到此错误。