У меня есть Cognito Identity Pool с ролью Authenticated с политикой, применяемой в соответствии с ниже:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"execute-api:Invoke"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:ab:asdf:function:b",
"Effect": "Allow"
}
]
}
У меня есть ресурс API-шлюза, к которому применена авторизация AWS_IAM.
Теперь этодает только доступ для вызова 1 конкретной лямбда-функции.
Однако я могу вызывать другие лямбда-функции, я не ограничен только этой функцией.
Когда я пробую симулятор политики,в нем говорится, что другие функции будут denied, однако это не так.
Я подтвердил, что запрос принимает правильную роль, вот что происходит в запросе:
userArn: "arn:aws:sts::00000000:assumed-role/appAuthRole-dev/CognitoIdentityCredentials"
С чего бы это?