为什么要通过API Gateway假设角色使用Lambda资源权限？

Question

我正在努力理解执行角色之间的实际区别，执行角色可以由API网关承担，以授予在lambda resource-based policy上执行lambda的权限。

例如，文档here提供了一个策略示例，可以由API网关假定该策略用于调用Lambda。

但是，API网关控制台将通过基于Lambda资源的策略授予自己访问lambda的权限。

两者都实现了允许API网关执行Lambda的预期结果。那么，有理由选择其中一个而不是另一个吗？

Answer 1

除了具有基于资源的策略的一般用例/优势之外，here还做了很好的解释

不必放弃他或她的权限即可获得角色权限

在这个特定的案例中，我体验到了使用Lambda的基于资源的策略而不是角色的两个明显优势

• ，Lambda - API网关集成的创建者，不需要有访问IAM的权限。No role created
• Because未创建任何角色，不需要清除任何角色。开发人员删除了他创建的Lambda函数，每个人都可以忘记它

Answer 2

我认为基于资源的策略的一个重要优势是它们可以应用于特定的版本或别名。这不同于IAM的角色，which cannot target a specific version or alias。