Я вижу, что sls deploy автоматически создает роль IAM для моих функций Lambda.

Question

У меня нет свойства iamrolestatements в моем serverless.yml. Но я вижу, что sls deploy автоматически создает роль IAM для моих функций Lambda. Права доступа к этой роли:

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "logs:CreateLogStream"
                ],
                "Resource": [
                    "arn:aws:logs:us-west-2:<acc id>:log-group:/aws/lambda/servicename-stage-functionname:*"
                ],
                "Effect": "Allow"
            },
            {
                "Action": [
                    "logs:PutLogEvents"
                ],
                "Resource": [
                    "arn:aws:logs:us-west-2:<acc id>:log-group:/aws/lambda/servicename-stage-functionname:*"
                ],
                "Effect": "Allow"
            }
        ]
    }

Интересно, как это так? Почему роль создается автоматически?

Answer 1

Это роль по умолчанию, созданная Serverless Framework. Эта роль дает вашим функциям Lambda разрешение на создание и запись в журналы CloudWatch.

Политики, добавленные вами с помощью iamRoleStatements, просто включены в политику этой роли.

https://serverless.com/framework/docs/providers/aws/guide/iam/