给定使用此权限创建的IAM角色:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Effect": "Allow",
"Sid": "First"
}
]
}
是否有任何告诉AWS只有 this 帐户中的lambda函数应该能够承担该角色 . 我希望AWS lambda能够在此帐户中运行函数时承担此角色,但只能在此AWS账户中运行lambda函数 - 而不是在碰巧发现此IAM角色的ARN的其他随机AWS账户中运行的lambda函数 .
如果使用此配置允许在任何AWS账户中运行的任何lambda函数承担此角色,那么如何修改此策略以仅允许在我的帐户中运行的lambda函数承担此角色 .
1 回答
"Service": "lambda.amazonaws.com"
表示您的IAM角色只能由Lambda承担 .如果要授予其他帐户的权限以承担该角色,则该角色的IAM策略可能如下所示: