为什么我们在获取Kinesis Stream时给予Lambda许可，而不是相反？

Question

我有一个从Kinesis流中获取数据的lambda。在分配权限时，我们为lambda执行角色提供了访问Kinesis流的策略。但是，我们没有给Kinesis任何许可，它允许lambda从它获取数据？为甚麽呢？

类似地，使用Dynamodb的lambda也是类似的情况。但当我们将lambda与Api网关集成时，在本例中，我们向lambda添加了权限，以便API网关可以调用它。

我想了解IAM权限和角色的基本概念，这将定义我们应该授予哪些资源权限，哪些资源不应该授予权限。对这件事你能给出的任何解释都会很有帮助。

Answer 1

Lambda执行角色授予其访问必要的AWS服务和资源的权限。Lambda将在执行过程中承担此角色。

正如您所提到的，这就是您授予Kinesis (或) DynamoDB权限的原因，因为您在lambda中对这些服务执行操作

但是，您为API Gateway添加的权限是基于资源的策略，允许API Gateway (或任何AWS服务)调用您的功能。

参考：https://docs.aws.amazon.com/lambda/latest/dg/lambda-permissions.html