在 CloudFormation 模板中使用现有角色

Question

我正在尝试在已被其他服务使用的 CFN 模板中使用现有 IAM 角色。

Resource 定义如下所示：

MyInstanceProfile:
  Type: "AWS::IAM::InstanceProfile"
  Properties: 
    Path: "/"
    Roles: ["Capras999"]

我是这样引用它的：

LambdaFunction:
  Type: AWS::Lambda::Function
  Properties:
    Role: !Ref MyInstanceProfile

但是我得到了这个错误：

1 validation error detected: Value 'capras-cluster-Prsr-DL-with-params-MyInstanceProfile-1R68JNUXU0SAA' at 'role' failed to satisfy constraint: Member must satisfy regular expression pattern: arn:(aws[a-zA-Z-]*)?:iam::\d{12}:role/?[a-zA-Z_0-9+=,.@\-_/]+ (Service: AWSLambdaInternal; Status Code: 400; Error Code: ValidationException; Request ID: 5f75a56d-8ce4-473e-924e-626a5d3aab0a)

我做错了什么？请帮帮我。

Answer 1

对于 lambda 函数，您需要 role 而不是 instance-profile。

解决方案是将现有角色的 ARN 复制并粘贴到模板中。其他可能性是使用parameter 传递它。

附言

一般情况下，您需要使用 lambda 的推力策略定义 AWS::IAM::Role。例如：

  LambdaExecutionRole:
    Type: AWS::IAM::Role
    Properties:
        RoleName: my-lambda-execution-role
        AssumeRolePolicyDocument:
          Version: '2012-10-17'               
          Statement:
            - Effect: Allow
              Principal: {'Service': ['lambda.amazonaws.com']}
              Action: ['sts:AssumeRole']
        ManagedPolicyArns:
          - arn:aws:iam::aws:policy/AWSLambdaExecute

那么对于你的功能，你会做：

LambdaFunction:
  Type: AWS::Lambda::Function
  Properties:
    Role: !GetAtt LambdaExecutionRole.Arn

Answer 2

您将实例名称指定为值，此参数应改为相关 IAM 角色的 Arn。

根据您的问题，您尝试将实例配置文件附加到您的 Lambda，这些仅适用于 EC2 实例。相反，您需要角色本身的 Arn。

您可以从控制台获取 Arn for IAM 角色 Capras999。

如果您使用的是现有角色，请确保更新您的 AssumeRolePolicy，使其也包括 lambda.amazonaws.com（如果将其用于 Lambda@Edge，则包括 lambdaedge.amazonaws.com）。