以下CDK代码
const queue = new sqs.Queue(this, 'my-sqs-queue', {
visibilityTimeout: cdk.Duration.seconds(300)
});
const role = iam.Role.fromRoleArn(this, "myrole", "arn:aws:iam::1234:role/myrole")
const evtHandler = new lambda.Function(this, 'MyLambda', {
code: lambda.Code.fromInline(`
exports.handler = async function(event, context) {
console.log("EVENT: \n" + JSON.stringify(event, null, 2))
return context.logStreamName
}`),
handler: 'index.handler',
runtime: lambda.Runtime.NODEJS_8_10,
role
});
evtHandler.addEventSource(new SqsEventSource(queue, {
batchSize: 10 // default
}));
将设置一个Lambda来轮询SQS。太棒了!但是,它也会生成此CF
myrolePolicy99283C52:
Type: AWS::IAM::Policy
Properties:
PolicyDocument:
Statement:
- Action:
- sqs:ReceiveMessage
- sqs:ChangeMessageVisibility
- sqs:GetQueueUrl
- sqs:DeleteMessage
- sqs:GetQueueAttributes
Effect: Allow
Resource:
Fn::GetAtt:
- sqseventloaderusw2tstF27FC9C7
- Arn
Version: "2012-10-17"
PolicyName: snssqslambdaPolicy16AEE704
Roles:
- myrole
问题在于,myrole已经有一个允许这些事情的政策。这也意味着执行此脚本的事物需要具有创建/更新Policies / Roles的权限:(
组织中的安全性不会允许这种事情。有没有办法阻止它生成策略并将其附加到角色上?
答案 0 :(得分:1)
进行开发时,通常会在工作区的另一个窗口中设置文档。您只需要将属性autoCreatePolicy设置为false。
根据文档:https://docs.aws.amazon.com/cdk/api/latest/docs/@aws-cdk_aws-sqs.Queue.html#autocreatepolicy
答案 1 :(得分:1)
对于以后遇到此问题的任何人,将选项mutable设置为 false 即可为我解决。
因此,在OP的示例中,角色将更改为:
const role = iam.Role.fromRoleArn(this, "myrole", "arn:aws:iam::1234:role/myrole", {mutable: false})