Разрешить доступ к файлам только с определенных Лямбда [s3]

Question

В ведомости s3 (статический веб-хостинг) есть определенная политика, запрещающая доступ всем пользователям к определенному файлу.

Как я могу разрешить только конкретный лямбда-функция к нему доступ? (С использованием только политики ковша)

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Authentication", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Action": "s3:GetObject", 
      "NotResource": "arn:aws:s3:::web/auth.html" 
     } 
    ] 
} 

UPDATE: Изменение прежней политики с этим один дает желаемый результат

{ 
    "Version": "2012-10-17", 
    "Id": "Policy1477651215159", 
    "Statement": [ 
     { 
      "Sid": "Console administration", 
      "Effect": "Allow", 
      "NotPrincipal": { 
       "AWS": "arn:aws:iam::XXXX:role/role_lambda" 
      }, 
      "Action": "s3:GetObject", 
      "NotResource": "arn:aws:s3:::web/auth.html" 
     } 
    ] 
} 

Answer 1

функции Lambda работать в Execution роли. Вы можете сделать роль IAM клиента для своей лямбда-функции. См. this

Затем вы можете использовать эту роль IAM для предоставления доступа к этому объекту S3. Смотрите следующие шаги: article.

Answer 2

Это фрагмент CloudFormation. Вы можете разрешить доступ Lambda роль в S3 с помощью следующего оператора IAM политики:

"LambdaRolePolicy" : { 
    "Type": "AWS::IAM::Policy", 
    "Properties": { 
     "PolicyName": "Lambda", 
     "PolicyDocument": { 
      "Statement" : [ { 
       "Action" : [ 
        "s3:PutObject", 
        "s3:PutObjectAcl" 
       ], 
       "Effect" : "Allow", 
       "Resource" : { 
        "Fn::Join": [ "", [ 
         "arn:aws:s3:::", 
         { "Ref": "S3Bucket" }, 
         "/*" 
        ] ] 
       } 
      } ] 
     }, 
     "Roles" : [ { "Ref": "RootRole" } ] 
    } 
} 

S3Bucket ресурса вашего S3 ведра и RootRole является Lambda роль.