Блог

#amazon-web-services #aws-lambda #amazon-iam

#amazon-web-services #aws-lambda #amazon-iam

Вопрос:

 {
            "Action": [
                "dynamodb:PutItem",
            ],
            "Resource": [
                "arn:aws:dynamodb:us-west-2:yyyyyyyyyy:table/testingtable"
            ],
            "Effect": "Allow"
}
  

 role not authorized to perform: dynamodb:PutItem on resource: arn:aws:dynamodb:us-west-2:xxxxxxxxxxx:table/testingtable
  

Комментарии:

1. В DynamoDB нет политик на основе ресурсов. Можете ли вы уточнить, что вы делаете? Ваш lambda должен принять роль в другой учетной записи, чтобы получить доступ к базе данных в этой учетной записи.

2. @Marcin Я хочу, чтобы функция Lambda в учетной записи A имела доступ на запись / чтение к базе данных DDB в учетной записи B, не принимая на себя роль учетной записи A. Достижимо ли это? как насчет функции Lambda в учетной записи A, чтобы иметь доступ на запись / чтение к корзине S3 в учетной записи B без принятия роли?

3. Я не думаю, что это возможно. DynamoDB, в отличие от S3, не имеет политик на основе ресурсов. Таким образом, единственная возможность для вашей функции получить доступ к DDB в Acc B — это иметь некоторую роль IAM в Acc B, которую может взять на себя функция с правами доступа к БД. Очевидно, что вы могли бы использовать IAM user в Acc B, если вы не хотите брать на себя роль, но использование ролей IAM является хорошей практикой для доступа между учетными записями.

4. не могли бы вы посоветовать или привести какой-нибудь пример того, как может работать политика на основе ресурсов для S3?

5. Я думаю, это aws.amazon.com/premiumsupport/knowledge-center /…