1
例如,我是AWS控制台的管理员,并且有一个用户X需要与我共享一些由我创建的测试lambda函数,以便他可以在测试lambda函数中进行测试,而不是用生产lambda函数搞乱,也不希望X看到访问我的lambda函数。AWS控制台测试用户无法看到管理用户lambda函数
但是,当我创建一个测试用户登录到自己的控制台,我无法看到他的控制台任何的管理功能,下面是连接到测试用户我的自定义策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:*",
"cognito-identity:ListIdentityPools",
"cognito-sync:GetCognitoEvents",
"cognito-sync:SetCognitoEvents",
"dynamodb:*",
"events:*",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PassRole",
"lambda:*",
"logs:*",
"kms:ListAliases"
],
"Resource": "*"
}
]
}
但同样的事情不会发生在s3桶中,我已经为测试用户附加了一个策略来访问只有测试s3桶,这很好,下面是策略描述。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::test"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::test/*"
]
}
]
}
您是否尝试添加Lamda策略,就像您为验证S3一样?我明白原来的政策已经授予访问lambda。 – kosa
难道这是由于您的资源(lambda函数)策略与此用户的IAM策略不同吗? – kosa
您的测试用户是什么类型的用户?管理员(或)非管理员? http://docs.aws.amazon.com/lambda/latest/dg/access-control-identity-based.html#access-policy-examples-for-sdk-cli – kosa