Невозможно создать функцию Lambda с персонализированной ролью HR, имеющей политику AWSLambdaFullAccess

Question

Я создал роль HR из корневой учетной записи в AWS, для этого пользователя я прикрепил следующие роли

Теперь, когда я вхожу в учетную запись пользователя ипри попытке создать функцию в AWS Lambda выдает ошибку

You are not authorized to perform: iam:CreateRole

Я не понимаю, как это решить и где яЯ делаю неправильно. Пожалуйста, помогите.

Answer 1

Это происходит потому, что когда ваш новый пользователь создает Lambda, он не указывает существующую роль для использования Lambda.В этом случае служба Lambda пытается создать новую роль IAM с базовой политикой выполнения, которую она может присоединить к этой функции Lambda.

Чтобы решить эту проблему, у вас есть несколько вариантов:

1. Дайте новому пользователю IAM разрешение на создание ролей.Это может быть достигнуто путем добавления политики к вашему новому, которая предоставляет разрешение iam:CreateRole.Вы также можете просто добавить управляемую роль IAMFullAccess.Если вы сделаете это, рекомендуется также настроить границы разрешений для этого пользователя, чтобы ограничить, какие разрешения IAM они могут добавить к своим ресурсам создания IAM.

2. Вы можете предварительно создать Лямбда-роль исполнения с вашим пользователем root / admin, которую другой пользователь может выбрать в консоли Lambda при создании своей новой функции Lambda.Как минимум, для этой новой роли потребуется присоединенная политика AWSLambdaBasicExecutionRole.После того, как это будет создано, другой должен увидеть его в раскрывающемся списке в качестве варианта связывания со своей новой функцией Lambda, и он может выбрать ее вместо того, чтобы просить Lambda создать совершенно новую роль.

Надеюсь, это поможет.