У меня похожий вопрос по этому поводу. У меня есть серверное приложение, где у меня есть пользователи-администраторы и обычные пользователи.
Лямбда-функция у меня запрашивает динамо. API Gateway передает маркер пользователя, из которого я могу получить учетные данные (id, secret, token) и выполнить вызов Dynamo в соответствии с учетными данными пользователя, который вызвал API (то есть администратора или обычного пользователя). У моих постоянных пользователей есть роль с политикой, которая позволяет им только получать доступ к своим данным, используя условие «dynamicodb: LeadingKeys». Пользователь с правами администратора может запросить что угодно в таблице.
В этом сценарии - Если я всегда использую эти учетные данные из токена для вызовов динамо, будет ли Lambda исполняющая роль по-прежнему нуждаться в разрешениях динамо? Если да, то когда выполняется динамо-вызов, какие учетные данные фактически используются? Лямбда-исполняющая роль или учетные данные из токена?
Если я получаю учетные данные из токена и использую эти учетные данные для запроса динамо, я не уверен, почему моей роли выполнения Lambda нужны динамо-привилегии.