我正在尝试在 CFN 模板中使用已被其他服务使用的现有 IAM 角色。
Resource 定义如下所示:
MyInstanceProfile:
Type: "AWS::IAM::InstanceProfile"
Properties:
Path: "/"
Roles: ["Capras999"]
我这样引用它:
LambdaFunction:
Type: AWS::Lambda::Function
Properties:
Role: !Ref MyInstanceProfile
但是我收到此错误:
检测到 1 个验证错误:“角色”处的值“capras-cluster-Prsr-DL-with-params-MyInstanceProfile-1R68JNUXU0SAA”未能满足约束:成员必须满足正则表达式模式:arn:(aws[ a-zA-Z-]*)?:iam::\d{12}:role/?[a-zA-Z_0-9+=,.@\-_/]+ (服务:AWSLambdaInternal;状态代码: 400;错误代码:ValidationException;请求 ID:5f75a56d-8ce4-473e-924e-626a5d3aab0a)
我做错了什么?请帮助我。
最佳答案
对于 lambda 函数,您需要 role 而不是 instance-profile。
解决方案是将现有角色的 ARN 复制并粘贴到模板中。另一种可能性是使用 parameter 传递它.
附注
一般需要定义AWS::IAM::Role具有 lambda 的推力策略。例如:
LambdaExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: my-lambda-execution-role
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal: {'Service': ['lambda.amazonaws.com']}
Action: ['sts:AssumeRole']
ManagedPolicyArns:
- arn:aws:iam::aws:policy/AWSLambdaExecute
然后对于您的功能,您将执行以下操作:
LambdaFunction:
Type: AWS::Lambda::Function
Properties:
Role: !GetAtt LambdaExecutionRole.Arn
关于amazon-web-services - 使用 CloudFormation 模板中的现有角色,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62320234/