この要件はペンテストから出てきました。私はラムダ関数 "add_address"とロール "account_management_role"を持っています。与えられたラムダ関数によって仮定できるようにするには?
私は "account_management_role"を "add_address"ラムダ関数によってのみ仮定したいと思っています。私は他のラムダ関数がこの役割を果たすことを望んでいません。
IAMの役割の「信頼関係」でこの項目を追加しようとしました。これはうまくいかなかった。
これをどのように動作させるか考えている人はいますか?
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "<ARN of lambda function>"
}
}
}
]
}
が理にかなっています。これが今私たちがやっていることです。役割を想定できるユーザーを制限する条件を追加して、期待どおりに機能しないように見えます。 –