本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在執行角色中使用 AWS 受管政策 下列 AWS 受管政策提供使用 Lambda 功能所需的許可。 | 變更 | 描述 | 日期 | | --- | --- | --- | | **[ AWSLambdaMSKExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaMSKExecutionRole)** – Lambda 已將 [kafka:DescribeClusterV2](https://docs.aws.amazon.com/MSK/2.0/APIReference/v2-clusters-clusterarn.html#v2-clusters-clusterarnget) 許可新增至此政策。 | `AWSLambdaMSKExecutionRole` 授予從 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 叢集中讀取和存取記錄、管理彈性網絡介面 (ENI),和寫入 CloudWatch Logs 的許可。 | 2022 年 6 月 17 日 | | **[AWSLambdaBasicExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole)** – Lambda 開始追蹤對此政策的變更。 | `AWSLambdaBasicExecutionRole` 授予將日誌上傳至 CloudWatch 的許可。 | 2022 年 2 月 14 日 | | **[AWSLambdaDynamoDBExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole)** – Lambda 開始追蹤對此政策的變更。 | `AWSLambdaDynamoDBExecutionRole` 授予從 Amazon DynamoDB 串流讀取記錄和寫入 CloudWatch Logs 的許可。 | 2022 年 2 月 14 日 | | **[AWSLambdaKinesisExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaKinesisExecutionRole)** – Lambda 開始追蹤對此政策的變更。 | `AWSLambdaKinesisExecutionRole` 授予從 Amazon Kinesis 資料串流讀取事件和寫入 CloudWatch Logs 的許可。 | 2022 年 2 月 14 日 | | **[AWSLambdaMSKExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaMSKExecutionRole)** – Lambda 開始追蹤對此政策的變更。 | `AWSLambdaMSKExecutionRole` 授予從 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 叢集中讀取和存取記錄、管理彈性網絡介面 (ENI),和寫入 CloudWatch Logs 的許可。 | 2022 年 2 月 14 日 | | **[AWSLambdaSQSQueueExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaSQSQueueExecutionRole)** – Lambda 開始追蹤對此政策的變更。 | `AWSLambdaSQSQueueExecutionRole` 授予從 Amazon Simple Queue Service (Amazon SQS) 佇列中讀取訊息並寫入 CloudWatch Logs 的許可。 | 2022 年 2 月 14 日 | | **[AWSLambdaVPCAccessExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole)** – Lambda 開始追蹤對此政策的變更。 | `AWSLambdaVPCAccessExecutionRole` 授予管理 Amazon VPC 內 ENI 和寫入 CloudWatch Logs 的許可。 | 2022 年 2 月 14 日 | | **[AWSXRayDaemonWriteAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSXRayDaemonWriteAccess)** – Lambda 開始追蹤對此政策的變更。 | `AWSXRayDaemonWriteAccess` 授予將追蹤資料上傳至 X-Ray 的許可。 | 2022 年 2 月 14 日 | | **[CloudWatchLambdaInsightsExecutionRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLambdaInsightsExecutionRolePolicy)** – Lambda 開始追蹤對此政策的變更。 | `CloudWatchLambdaInsightsExecutionRolePolicy` 授予將執行時間指標寫入 CloudWatch Lambda Insights 的許可。 | 2022 年 2 月 14 日 | | **[AmazonS3ObjectLambdaExecutionRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonS3ObjectLambdaExecutionRolePolicy)** – Lambda 開始追蹤對此政策的變更。 | `AmazonS3ObjectLambdaExecutionRolePolicy` 會授予許可,以與 Amazon Simple Storage Service (Amazon S3) 物件 Lambda 互動,並寫入 CloudWatch Logs。 | 2022 年 2 月 14 日 | 針對某些功能,Lambda 主控台會嘗試將遺漏的許可新增到您客戶受管政策中的執行角色。這些政策的數量可能會相當多。請在啟用功能前將相關受 AWS 管理˙政策新增到您的執行角色,以避免建立額外政策。 當您使用[事件來源映射](invocation-eventsourcemapping.md)來調用函數時,Lambda 會使用執行角色來讀取事件資料。例如,Kinesis 的事件來源映射會從資料串流讀取事件,並將這些事件批次傳送到函數。 當服務在您的帳戶中擔任角色時,您可以在角色信任政策中包含 `aws:SourceAccount` 和 `aws:SourceArn` 全域條件內容金鑰,以將角色的存取限制為僅由預期資源產生的請求。如需詳細資訊,請參閱 [AWS Security Token Service的預防跨服務混淆代理人](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html#cross-service-confused-deputy-prevention)。 除了 AWS 受管政策之外,Lambda 主控台還提供範本,用於建立具有其他使用案例許可的自訂政策。當您在 Lambda 主控台中建立函數時,您可以選擇使用來自一個或多個範本的許可建立新的執行角色。當您從藍圖建立函式時,或是您設定需要存取其他服務的選項時,也會自動套用這些範本。範例範本可在此指南的 [GitHub 儲存庫](https://github.com/awsdocs/aws-lambda-developer-guide/tree/master/iam-policies)取得。