AWS学习笔记之Lambda执行权限引发的思考

最近在网上看到一道关于AWS Lambda的题,十分有意思:

复制代码
A developer has an application that uses an AWS Lambda function to upload files to Amazon S3 and needs the required permissions to
perform the task. The developer already has an IAM user with valid IAM credentials required for Amazon S3.
What should a solutions architect do to grant the permissions?
A. Add required IAM permissions in the resource policy of the Lambda function.
B. Create a signed request using the existing IAM credentials in the Lambda function.
C. Create a new IAM user and use the existing IAM credentials in the Lambda function.
D. Create an IAM execution role with the required permissions and attach the IAM role to the Lambda function.

仔细想了想,这是在问如何让Lambda有可以上传文件到S3上的权限。而IAM user和相关凭证都是配置好的。

而Lambda是需要用某种IIAM role来执行的,且这个Role是需要有S3的操作权限来上传文件的。看完四个选项,只有D是正确的。而A是用来迷惑人的,IAM permissions是加在Role上的,并不是直接配置在Lambda上。

再进一步再想,这个配置在AWS中该如何编写呢?

配置如下:

复制代码
{
  "Effect": "Allow",
  "Action": "s3:PutObject",
  "Resource": "arn:aws:s3:::your-bucket-name/*"
}

回想一下项目中也会用serverless语法来设置IAM role有s3的一些权限,殊途同归罢了,具体serverless.yml的内容如下所示:

复制代码
service: upload-service

provider:
  name: aws
  runtime: nodejs18.x
  region: ap-northeast-1
  iamRoleStatements:
    - Effect: Allow
      Action:
        - s3:PutObject
      Resource:
        - arn:aws:s3:::test-bucket/*
  
functions:
  uploader:
    handler: handler.uploadFile
    events:
      - http:
          path: upload
          method: post

plugins:
  - serverless-offline

随后,编写对应的lambda代码,假设还是用nodejs实现(假设保存在名为handler.js的文件中):

复制代码
onst AWS = require('aws-sdk');
const s3 = new AWS.S3();

module.exports.uploadFile = async (event) => {
  const content = Buffer.from("test for lambda");
  const bucketName = "test-bucket";

  await s3.putObject({
    Bucket: bucketName,
    Key: "example.txt",
    Body: content,
  }).promise();

  return {
    statusCode: 200,
    body: JSON.stringify({ message: "Uploaded successfully" }),
  };
};
相关推荐
AWS官方合作商18 小时前
Amazon Bedrock助力飞书深诺:打造电商广告智能分类的“核心引擎”
ai·飞书·aws
TG_yunshuguoji1 天前
亚马逊云渠道商:如何配置 AWS 自动化快照?
自动化·云计算·aws
weixin_307779131 天前
AWS云上Quickwit部署指南与成本分析
服务器·自动化·云计算·运维开发·aws
FreeBuf_1 天前
AWS服务大规模中断,基础设施故障影响全球企业
网络·数据库·aws
TG_yunshuguoji1 天前
亚马逊云代理:AWS的EC2, S3, RDS,Lambda具体简介
服务器·云计算·aws
HoneyMoose1 天前
AWS US-East-1 区宕机
云计算·aws
王道长服务器 | 亚马逊云1 天前
AWS CloudFormation —— 自动化部署的“云中脚本大师”
运维·服务器·网络·自动化·云计算·aws
TG_yunshuguoji1 天前
亚马逊云代理:利用亚马逊云进行大规模数据分析与处理的最佳实践
服务器·数据挖掘·数据分析·云计算·aws
十步杀一人_千里不留行2 天前
全球云服务震荡:Amazon Web Services (AWS) 出现大规模故障 多项线上服务受冲击
云计算·aws
TG_yunshuguoji2 天前
亚马逊云代理商:AWS怎么通过加密实现数据保护目标?
服务器·云计算·aws