【发布时间】:2021-02-12 12:48:19
【问题描述】:
我有一个 IAM 组,它为其用户分配了一些权限。许多权限之一是访问 Lambda 函数。这些 lambda 函数在 DynamoDB 表中添加简单的 cmets。对于尝试在 AWS 控制台中测试 Lambda 的用户,响应如下:
User: arn:aws:sts::11111111111:assumed-role/jd-176-LambdaToDynamoDBCommentTableRole-1QGT8KW7YAUAA/jd-176-LambdaCreationHelperSta-SaveCommentFunction-LQRLLIVVRDS5 is not authorized to perform: dynamodb:GetItem on resource: arn:aws:dynamodb:us-east-1:11111111111:table/aws-serverless-config
这很奇怪,因为看起来我允许dynamodb:GetItem,以及arn:aws:dynamodb:us-east-1:11111111111:table/aws-serverless-config 上的其他人。
LambdaToDynamoDBCommentTableRole:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:PutItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:UpdateItem"
],
"Resource": [
"arn:aws:dynamodb:us-east-1:11111111111:table/jd-176-BlogComment",
"arn:aws:dynamodb:us-east-1:11111111111:table/jd-176-serverless-config"
],
"Effect": "Allow",
"Sid": "AllowDynamoDB"
}
]
}
我真的很感激这里的任何帮助。如果需要更多信息,我很乐意提供。
【问题讨论】:
标签: amazon-web-services aws-lambda amazon-iam