代码之家  ›  专栏  ›  技术社区  ›  Harry

如何修复未授权执行的问题:dynamodb:Scan error

amazon-dynamodb amazon-web-services
  •  1
  • Harry  · 技术社区  · 6 年前

    调用扫描操作:用户: arn:aws:sts::747857903140:假定角色/code starworker helpbot Lambda/awscodestar-helpbot-Lambda-FindService-1L7IH17742JLR arn:aws:dynamodb:us-east-1:747857903140:表/HelpBot“

    这在我的SAM模板中: 

    FindService:
    Type: AWS::Serverless::Function
    Properties:
      Handler: find_service.handler
      Runtime: python3.6
      Role:
        Fn::ImportValue:
          !Join ['-', [!Ref 'ProjectId', !Ref 'AWS::Region', 'LambdaTrustRole']]
      Policies:
        - AmazonDynamoDBFullAccess

    1 回复  |  直到 6 年前
        1
  •  2
  •   Tom    6 年前

    根据 this SAM CloudFormation doc :

    如果设置了Role属性,则此属性没有意义。

    后者看起来像这样: 

      Policies:
    Version: '2012-10-17'
    Statement:
    - Effect: Allow
      Action:
      - dynamodb:Scan
      Resource: arn:aws:dynamodb:region:account-id:table/table-name
    - Effect: Allow
      Action:
      - ...
      Resource: ...
        2
  •  0
  •   M.Namjo    4 年前 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
           ],
            "Resource": "arn:aws:dynamodb:eu-west-1:77777:table/order"
            },
           {
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": "arn:aws:dynamodb:eu-west-1:777:table/ExecutionId"
        },
        {
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "arn:aws:logs:eu-west-1:777777:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:eu-west-1:777777:log-group:/aws/lambda/MyReport:*"
            ]
        }
    ]
}
    推荐文章
    hallibut  ·  Lambda功能不工作的SST热重新加载
    6 月前
    Tim  ·  在java中,有没有更快的方法将字节数组写入文件?
    6 月前
    Tom McLean  ·  如何使用证书管理器制作的证书在AWS上创建到mongodb实例的TLS/SSL连接?健康检查失败
    7 月前
    Nuñito Calzada  ·  AWS SDK 1.12.780 Java版的凭据
    8 月前
    Sampgun  ·  CDN调用与lambda调用的巨大差异
    8 月前
    Mario Mateaș  ·  无法从Elastic Beanstalk的EC2实例访问外部MongoDB Atlas数据库
    8 月前
    Tiago  ·  如何允许从一个安全组到另一个组的所有流量?
    1 年前
    Ercan Koc  ·  使用EKS和RDS Aurora在My VPC中努力切换到IPv6
    1 年前
    Andrew  ·  CloudWatch错误:规则JobFailureRule应在堆栈范围内创建,但找不到堆栈
    1 年前
    explorer  ·  AWS SageMaker项目模板创建失败
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号