Как S3 получает разрешение от лямбда-триггера?

Question

Я прорабатываю детали безопасности для работы с Lambda.Одна вещь, которую я не могу выяснить, это то, как S3 получает разрешение на передачу в Lambda, когда вы добавляете триггер из консоли Lambda или через S3 - Свойства - События.Я знаю, как это работает, используя CLI, и я знаю, что вы можете сделать это через SDK, но я также заметил, что это не всегда необходимо.В основном, триггер просто «работает» без добавления каких-либо разрешений.Кто-нибудь знает почему?

И есть ли способ узнать, что у Permissions S3 / s3 bucket?Я знаю, что есть вкладка «Разрешения», но она не дает мне никакой информации.Я также знаю о Trust Advisor, но это просто говорит мне, что нет никаких явных проблем с разрешениями.Мне интересно, могу ли я получить список разрешений, хотя?

Надеюсь, кто-нибудь может мне помочь, заранее спасибо!

Answer 1

Добавление триггера в консоли эквивалентно назначению разрешений и установке уведомлений корзины .Вы можете увидеть политику, связанную с конкретной лямбда-функцией, используя команду get-policy cli:

aws lambda get-policy --function-name <name>

Это скажет вам, что такое политика для вашей функции.В том числе ресурсы с правами для его вызова.Эта политика не применяется к корзине S3, но вместо этого к вашей лямбда-функции.

Вы также можете увидеть, что ваша корзина настроена на уведомление в консоли, в разделе Свойства> События или в обзоре.это с помощью cli, используя команду get-bucket-notification:

aws s3api get-bucket-notification --bucket <bucket>