我当前正在使用aws-cdk创建一个中央日志记录存储桶,所有现有的s3存储桶都将记录到该日志记录存储桶。当我手动赋予's3LogDeliveryGroup'列表对象,写入对象,读取桶权限和写入桶权限时,一切正常。但是,我正在使用aws-cdk,需要以编程方式执行此操作,因此我可以将其部署到任何帐户。 这是我的代码:
const s3PublicAccessLambda = new lambda.Function(this, 's3PublicAccessLambda',{
runtime: lambda.Runtime.PYTHON_3_6,
handler: 's3PublicAccess.handler',
role:s3LoggingLambdaRole,
code: lambda.Code.fromAsset(path.join(__dirname, '../lambda')),
timeout: cdk.Duration.seconds(300)
});
const centralLoggingBucket = new s3.Bucket(this, 'centralLoggingBucket', {
accessControl:s3.BucketAccessControl.BUCKET_OWNER_FULL_CONTROL
});
centralLoggingBucket.grantReadWrite(s3LoggingLambdaRole);
}
}
运行此代码时不会发生任何错误,但是除非我手动授予权限,否则存储桶将不会记录。我知道我需要在我不知道确切位置的“ accessControl”参数附近指定它。谢谢!!
答案 0 :(得分:0)
如果您正在寻找一种为lambda函数承担的角色s3LoggingLambdaRole提供S3存储桶访问策略的方法,则可以尝试附加这样的内联策略:
s3LoggingLambdaRole.attachInlinePolicy(
new Policy(this, 'yourPolicy', {
policyName: 'yourPolicyName',
statements: [
new PolicyStatement({
actions: ['s3:ListObjects', 's3:WriteObjects'],
resources: [`arn:aws:s3:::`, `arn:aws:s3:::*`, 'arn:aws:s3:::*/*'],
}),
],
}),
);
此外,请记住,如果您提供了自己的自定义IAM角色,则不会自动授予该角色执行lambda的权限,因此您可能还必须添加以下托管策略。
s3LoggingLambdaRole.addManagedPolicy(ManagedPolicy.fromAwsManagedPolicyName("service-role/AWSLambdaBasicExecutionRole"));
s3LoggingLambdaRole.addManagedPolicy(ManagedPolicy.fromAwsManagedPolicyName("service-role/AWSLambdaVPCAccessExecutionRole")); // only required if your function lives in a VPC