IAM角色承担角色权限

Question

给定使用此权限创建的IAM角色：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Effect": "Allow",
      "Sid": "First"
    }
  ]
}

有没有什么告诉AWS只有中的lambda函数--这个帐户应该能够承担这个角色。我希望AWS lambda在此帐户中运行函数时能够承担此角色，但只有运行在此AWS帐户中的lambda函数--而不是运行在其他碰巧发现此IAM角色的ARN的随机AWS帐户中的lambda函数。

如果使用此配置允许运行在任何AWS帐户中的任何lambda函数承担此角色，那么如何修改此策略以只允许运行在我的帐户中的lambda函数承担此角色。

Answer 1

"Service": "lambda.amazonaws.com"告诉您，您的IAM角色只能由Lambda承担。

如果要将权限授予其他帐户以承担该角色，则角色的IAM策略可能如下所示：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<AccountNumberThatCanAssumeTheRole>:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {}
    }
  ]
}