gam*_*mer 2 amazon-iam aws-lambda terraform
我正在尝试创建 Lambda 角色并为其附加一个策略以允许所有 ElasticSearch 集群操作。
下面是代码 -
resource "aws_iam_role" "lambda_iam" {
name = "lambda_iam"
assume_role_policy = <<EOF
{
"Version": "2012-10-17",
"Statement": [{
"Action": [
"es:*"
],
"Effect": "Allow",
"Resource": "*"
}]
}
EOF
}
resource "aws_lambda_function" "developmentlambda" {
filename = "lambda_function.zip"
function_name = "name"
role = "${aws_iam_role.lambda_iam.arn}"
handler = "exports.handler"
source_code_hash = "${filebase64sha256("lambda_function.zip")}"
runtime = "nodejs10.x"
}
我收到以下错误
Error creating IAM Role lambda_iam: MalformedPolicyDocument: Has prohibited field Resource
关于资源的 Terraform 文档表示您可以为所有用户指定“*”。主要字段也不是强制性的,所以这不是问题。我还是改成了
assume_role_policy = <<EOF
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "es.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
}
EOF
}
但那是说——
Error creating Lambda function: InvalidParameterValueException: The role defined for the function cannot be assumed by Lambda.
我的 lambda 函数定义很简单
resource "aws_lambda_function" "development_lambda" {
filename = "dev_lambda_function.zip"
function_name = "dev_lambda_function_name"
role = "${aws_iam_role.lambda_iam.arn}"
handler = "exports.test"
source_code_hash = "${filebase64sha256("dev_lambda_function.zip")}"
runtime = "nodejs10.x"
}
lambda 文件本身没有任何内容,但我不知道这是否可以解释该错误。
我在这里缺少什么吗?
代入角色策略是角色的信任策略(允许角色被代入),而不是角色的权限策略(角色授予代入实体哪些权限)。
Lambda 执行角色需要两种类型的策略。
立即发生的错误是“Lambda 无法承担为函数定义的角色”,因为它需要"Principal": {"Service": "lambda.amazonaws.com"},而不是es.amazonaws.com权限策略中的内容。我不使用 terraform,但看起来可能基于resource "aws_iam_policy"https://www.terraform.io/docs/providers/aws/r/lambda_function.html ,我认为这是您正在使用的参考。
| 归档时间: |
|
| 查看次数: |
7695 次 |
| 最近记录: |