Cloudformation documentation описывает следующие соотношения между частями IAM спецификации Роль:Confused о IAM Роли, политики, заявлений и действий
Service (Lambda in my case)
has one or more
Role/s
which contain one or more
Policy/ies
which contain a
Policy Document
which contains one or more
Statement/s
which contains one or more
{Effect,[Action],Resource} objects
which specify one or more
Action/s
Предположим, что я хочу, чтобы дать [роль] разрешение сделать [Action ]. Как определить, где в указанной иерархии должно быть указано разрешение?
В моем конкретном случае я хочу добавить s3:GetObject
в роль для лямбда.
Должен ли я
- создать новую роль?
- создать новую политику в существующей роли?
- добавить новое заявление в существующую политику?
- добавить новое действие в существующее заявление (используя
Resource:'*'
)?
В поисках указаний относительно того, когда каждый из указанных выше будет применяться ...