Как увидеть, какая роль выполнения лямбда-выражения используется для выполнения лямбда-функции & Разница между AssumeRole и LambdaExecution Role

Question

1, Как я могу увидеть, «какая роль» используется для выполнения лямбда-функции? Я зарегистрировал событие в Cloudwatch, но нет ничего относительно роли IAM или AssumeRole.

2, сильно ли AssumeRole отличается от лямбда-роли исполнения? Прямо сейчас в моей лямбде у меня есть функция с авторизатором. Авторизатор проверит токен пользователя и при обратном вызове пройдет сгенерированную политику.

Итак, я понял, Сначала мы вызываем «функцию» и автоматически запускаем авторизатор. Авторизатор передаст роль IAM «Функции», а затем выполнит ее. Итак, мой вопрос, является ли эта AssumeRole лямбда-выражением: выполнять роль?

Так в чем же разница между ролью выполнения лямбда по умолчанию и этой AssumeRole?

Answer 1

1. Для этого вы можете использовать AWS CloudTrail.См. https://docs.aws.amazon.com/lambda/latest/dg/logging-using-cloudtrail.html

2. Предполагаемая роль - это роль, на которую действует запрос.Концепция роли является самой основной в AWS, для выполнения действия (например, вызова API) у вас должна быть роль.

Авторизатор использует AssumeRole для принятия роли для клиента.AssumeRole генерирует временные учетные данные IAM, с которыми объект может получить доступ к ресурсам AWS.С другой стороны, роль выполнения - это роль, на которую воздействует ресурс (например, AWS Lambda).Например, если ваш Lambda читает из таблицы DynamoDB, его роль выполнения должна включать разрешение dynamodb:GetItem - это не обязательно должно быть включено в предполагаемую роль.