Nic*_*lle 5 amazon-web-services aws-sam-cli aws-sam
当尝试使用 AWS SAM CLI 部署到 AWS 时,我的 Lambda 函数使用以下脚本:
aws cloudformation deploy --template-file /Users/ndelvalle/Projects/foo/functions/packaged-template.yaml --stack-name foo --region sa-east-1 --capabilities CAPABILITY_IAM --no-fail-on-empty-changeset
我在堆栈事件中收到以下错误:
API: iam:CreateRole User: arn:aws:iam::user/nico is not authorized to perform: iam:CreateRole on resource
这是因为我的帐户没有角色创建权限。这就是为什么我想知道是否有一种方法可以为我的 lambda 定义预先创建的角色,这样脚本就不需要创建角色。
小智 4
需要更多信息来为您解答这个问题。使用 SAM 进行部署时会用到许多不同的权限。我为我的公司实施了 SAM 模板来管理我们的 lambda 堆栈。我们需要为在堆栈上工作的 Java 开发人员提供 SAM 模板隐式和显式创建的相同权限,而不仅仅是创建角色。为此,我们在 IAM 中创建了几个特殊组,并附加了无服务器开发人员。可以为 Lambda 分配特定的预定义角色,https://github.com/awslabs/serverless-application-model/blob/master/versions/2016-10-31.md#awsserverlessfunction。如果您在模板中定义角色,它不会自动创建角色。但是,如果您声明 Api Gateway 和 DynamoDB 等其他资源,您仍然会遇到问题。
长话短说,如果您使用 SAM,最好让系统管理员授予您创建角色的权限,并且您还需要其他权限,或者让 Jenkins 等作业运行程序完成 SAM 模板的部署(具有权限)。如果它对您的团队/公司来说过于宽松,也许 SAM 不是一个好的解决方案...最好切换到纯 CloudFormation 之类的东西,并放弃面向开发人员的工作流程。一些值得思考的事情,希望对你有帮助。
| 归档时间: |
|
| 查看次数: |
5694 次 |
| 最近记录: |