为什么Lambda需要权限来完成生命周期挂钩？

Question

关于配置生命周期钩子的AWS 教程页：

在创建Lambda函数之前，必须首先创建一个执行角色和一个权限策略，以允许Lambda完成生命周期挂钩。

完成需要权限的生命周期挂钩有什么风险或特殊之处？

我看不出在质量上与我们在EC2中配置的其他任何东西有什么不同。一切都是危险的，但我们不需要设置角色和权限。

Answer 1

“完成生命周期挂钩”实际上是一个API调用，您的lambda应该针对ASG执行该调用：

• 动作 -使用指定的结果完成指定令牌或实例的生命周期操作。

因此，您的lambda执行角色必须具有执行此类操作的权限。例如：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "autoscaling:CompleteLifecycleAction",
            "Resource": "*"
        }
    ]
}