CLI AWS: роль, определенная для функции, не может быть принята лямбда

Question

CLI AWS: роль, определенная для функции, не может быть принята лямбда

Версия AWS CLI:

aws --version
aws-cli/1.11.21 Python/2.7.12 Darwin/15.3.0 botocore/1.4.78

Попытка создать лямбда-функцию и получить ошибку:

An error occurred (InvalidParameterValueException) when calling the CreateFunction operation: The role defined for the function cannot be assumed by Lambda.

Роль была создана как:

aws iam create-role --role-name microrole --assume-role-policy-document file://./trust.json

trust.json является:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Политика была прикреплена как:

aws iam put-role-policy --policy-document file://./policy.json --role-name microrole --policy-name micropolicy

policy.json является:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "apigateway:*"
      ],
      "Resource": "arn:aws:apigateway:*::/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "execute-api:Invoke"
      ],
      "Resource": "arn:aws:execute-api:*:*:*"
    }
  ]
}

Ожидал несколько минут, как упомянуто в [1] и [2], но ошибка все еще не исчезла. Политика и доверие к этой роли аналогичны роли по умолчанию, создаваемой при создании лямбда-функции с помощью консоли.

Полные действия перечислены на https://github.com/arun-gupta/serverless/tree/master/aws/microservice.

Чего не хватает?

6

amazon-web-services security aws-lambda aws-cli serverless-architecture

Источник

user672246 28 дек '16 в 04:19

1 ответ

Другие вопросы по тегам amazon-web-services security aws-lambda aws-cli serverless-architecture

user672246 28 дек '16 в 18:39 2016-12-28 18:39 · Answer 1 · 2016-12-28 18:39

Лямбда-функция была создана как:

aws lambda create-function \
--function-name MicroserviceGetAll \
--role arn:aws:iam::<act-id>:role/service-role/microRole \
--handler org.sample.serverless.aws.couchbase.BucketGetAll \
--zip-file fileb:///Users/arungupta/workspaces/serverless/aws/microservice/microservice-http-endpoint/target/microservice-http-endpoint-1.0-SNAPSHOT.jar \
--description "Microservice HTTP Endpoint - Get All" \
--runtime java8 \
--region us-west-1 \
--timeout 30 \
--memory-size 1024 \
--environment Variables={COUCHBASE_HOST=ec2-35-165-83-82.us-west-2.compute.amazonaws.com} \
--publish

Правильная команда:

aws lambda create-function \
--function-name MicroserviceGetAll \
--role arn:aws:iam::<act-id>:role/microRole \
--handler org.sample.serverless.aws.couchbase.BucketGetAll \
--zip-file fileb:///Users/arungupta/workspaces/serverless/aws/microservice/microservice-http-endpoint/target/microservice-http-endpoint-1.0-SNAPSHOT.jar \
--description "Microservice HTTP Endpoint - Get All" \
--runtime java8 \
--region us-west-1 \
--timeout 30 \
--memory-size 1024 \
--environment Variables={COUCHBASE_HOST=ec2-35-165-83-82.us-west-2.compute.amazonaws.com} \
--publish

Разница в том, что роль была неправильно указана как role/service-role/microRole вместо role/microRole,