本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 步骤 2:为自定义 AWS AppConfig 扩展程序配置权限 使用以下过程创建和配置 AWS Identity and Access Management (IAM) 服务角色(或*代入角色*)。 AWS AppConfig 使用此角色来调用 Lambda 函数。 **创建 IAM 服务角色并 AWS AppConfig 允许代入该角色** 1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。 1. 在导航窗格中,选择**角色**,然后选择**创建角色**。 1. 在**选择可信实体类型**下,选择**自定义信任策略**。 1. 将以下 JSON 策略粘贴到**自定义信任策略**字段中。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ 选择**下一步**。 1. 在**附加权限**页面上,选择**创建策略**。此时将在新选项卡中打开**创建策略**页面。 1. 选择 **JSON** 选项卡,然后将以下权限策略粘贴到编辑器中。`lambda:InvokeFunction` 操作用于 `PRE_*` 操作点。`lambda:InvokeAsync` 操作用于 `ON_*` 操作点。*Your Lambda ARN*替换为您的 Lambda 的亚马逊资源名称 (ARN)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:InvokeAsync" ], "Resource": "arn:aws:lambda:us-east-1:111122223333:function:function-name" } ] } ``` ------ 1. 选择**下一步:标签**。 1. 在 **添加标签 (可选)** 页面上,添加一个或多个键值对,然后选择**下一步: 审核**。 1. 在 **Review policy**(检查策略)页面上输入一个名称和描述,然后选择 **Create policy**(创建策略)。 1. 在自定义信任策略的浏览器选项卡上,选择刷新图标,然后搜索您刚刚创建的权限策略。 1. 选择权限策略对应的复选框,然后选择**下一步**。 1. 在**名称、审查和创建**页面上,在**角色名称**框中输入名称,然后输入描述。 1. 选择 **Create role (创建角色)**。系统将让您返回到 **角色** 页面。在横幅中选择**查看角色**。 1. 复制 ARN。您可以在创建扩展程序时指定此 ARN。