問題タブ [aws-iam]

Cognito フェデレーション ユーザーを使用するサーバーレス アプリケーションがあります。API ゲートウェイの場合、aws_iam オーソライザーを使用し、API ゲートウェイへの各リクエストで aws 資格情報を提供します。

これで、ラムダが実行されると、cognito ユーザーに割り当てられたロールが使用され、必要なリソースにアクセスできると想定しました。しかし、ラムダ実行ロールには、これらのリソースを実行する権限がまだ必要なようです。

同じ権限セットを持つ 2 つの役割が本当に必要ですか? もしそうなら、認識の役割のポイントは何ですか?

私は AWS に比較的慣れていないので、ロール ポリシーがどのように機能するかを理解しようとしています。非常に包括的な AWS のドキュメントを読みましたが、適用しているポリシーがまだ期待どおりに機能していません...説明させてください

ロールへのアクセスを許可しようとしているので、想定されたときにラムダで何かを行うことができます

「デプロイ担当者」というロールを作成しました。
次に、以下のポリシーをそのロールにアタッチしました。

ここでの私の期待は、ポリシーが言うことです... 指定されたリソース (デプロイ担当者の役割) は、Lambda サービスで任意のアクションを実行することを「許可」されています

ただし、フロントエンドでそのロールに切り替えると、Lambda ダッシュボードに次のエラーが表示されます。

lambda:GetAccountSettings を実行する権限がありません。

私が見つけた唯一の解決策は、ポリシーのリソース属性をワイルドカードにすることです...しかし、そのような役割のみへのアクセスを制限しようとする目的を無効にします

私が望むことをするポリシーの例

誰かがここで実際に何が起こっているのか説明してもらえますか? Resource 属性が何に使用されているのかはっきりと理解していません...私にとって、2番目のポリシーは、どのリソースもLambdaで何でもできると言っています...

ありがとう

AWS で IAM ロールを使用して Terraform を実行したり、アクセス キーや共有キーなどを削除したりしようとしています。

だから私は私の aws_provider.tf を持っています

実際に Terraform を実行している EC2 インスタンスにその役割を与えない限り、それは機能しません。

ここで何か不足していますか? AWS 側と IAM ロールについて考えていますか? Terraform は、EC2 インスタンスが割り当てられていなくても IAM ロールを引き受けることができるはずではありませんか? ロールを切り替えるには、別のロールを作成する必要がありますか?

それとも、これはあるべき姿ですか？

ありがとう