amazon.aws.lambda_policy 模块 – 创建、更新或删除 AWS Lambda 策略语句。

注意

此模块是 amazon.aws 集合 (版本 9.0.0) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install amazon.aws。您需要其他要求才能使用此模块,有关详细信息,请参阅 要求

要在 playbook 中使用它,请指定:amazon.aws.lambda_policy

amazon.aws 5.0.0 中的新增功能

概要

要求

执行此模块的主机需要以下要求。

  • python >= 3.6

  • boto3 >= 1.28.0

  • botocore >= 1.31.0

参数

参数

注释

access_key

别名:aws_access_key_id、aws_access_key、ec2_access_key

字符串

AWS 访问密钥 ID。

有关访问令牌的更多信息,请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys

也可以使用 AWS_ACCESS_KEY_IDAWS_ACCESS_KEYEC2_ACCESS_KEY 环境变量,优先级依次递减。

aws_access_keyprofile 选项是互斥的。

为了与 AWS botocore SDK 保持一致,在 5.1.0 版本中添加了 aws_access_key_id 别名。

ec2_access_key 别名已弃用,将在 2024-12-01 之后的一个版本中移除。

EC2_ACCESS_KEY 环境变量的支持已弃用,将在 2024-12-01 之后的一个版本中移除。

action

字符串 / 必需

您想要在此语句中允许的 AWS Lambda 操作。每个 Lambda 操作都是一个以 lambda: 开头的字符串,后跟 API 名称(参见操作)。例如,lambda:CreateFunction。您可以使用通配符 (lambda:*) 来授予所有 AWS Lambda 操作的权限。

alias

字符串

函数别名。与 version 互斥。

aws_ca_bundle

路径

验证 SSL 证书时要使用的 CA 捆绑包的位置。

也可以使用 AWS_CA_BUNDLE 环境变量。

aws_config

字典

用于修改 botocore 配置的字典。

参数可在 AWS 文档中找到 https://botocore.amazonaws.com/v1/documentation/api/latest/reference/config.html#botocore.config.Config

debug_botocore_endpoint_logs

布尔值

使用 botocore.endpoint 记录器来解析在任务期间进行的唯一(而不是总数)"resource:action" API 调用,将集合输出到任务结果中的 resource_actions 密钥。使用 aws_resource_action 回调将输出到 playbook 期间进行的总数列表。

也可以使用 ANSIBLE_DEBUG_BOTOCORE_LOGS 环境变量。

选项

  • false ← (默认)

  • true

endpoint_url

别名:ec2_url、aws_endpoint_url、s3_url

字符串

连接到的 URL,而不是默认的 AWS 端点。虽然这可以用于连接到其他兼容 AWS 的服务,但 amazon.aws 和 community.aws 集合仅针对 AWS 进行测试。

也可以使用 AWS_URLEC2_URL 环境变量,优先级依次递减。

ec2_urls3_url 别名已弃用,将在 2024-12-01 之后的一个版本中移除。

EC2_URL 环境变量的支持已弃用,将在 2024-12-01 之后的一个版本中移除。

event_source_token

字符串

代表源 ARN 或帐户的令牌字符串。与 source_arnsource_account 互斥。

function_name

别名:lambda_function_arn、function_arn

字符串 / 必需

要通过添加新权限来更新其资源策略的 Lambda 函数的名称。

您可以指定函数名称(例如,Thumbnail)或函数的 Amazon 资源名称 (ARN)(例如,arn:aws:lambda:us-west-2:account-id:function:ThumbNail)。AWS Lambda 还允许您

函数(例如,arn:aws:lambda:us-west-2:account-id:function:ThumbNail)。AWS Lambda 还允许您

指定部分 ARN(例如,account-id:Thumbnail)。请注意,长度限制仅适用于

ARN。如果只指定函数名称,则长度限制为 64 个字符。

主体

字符串 / 必需

获得此权限的主体。如果希望 Amazon S3 调用函数,则可以是 Amazon S3 服务主体 (s3.amazonaws.com);如果要授予跨账户权限,则可以是 AWS 账户 ID;或者任何有效的 AWS 服务主体,例如 sns.amazonaws.com。例如,您可能希望允许另一个 AWS 账户中的自定义应用程序通过调用您的函数将事件推送到 AWS Lambda。

配置文件

别名:aws_profile

字符串

用于身份验证的命名 AWS 配置文件。

有关命名配置文件的更多信息,请参阅 AWS 文档 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html

也可以使用 AWS_PROFILE 环境变量。

profile 选项与 aws_access_keyaws_secret_keysecurity_token 选项互斥。

区域

别名:aws_region, ec2_region

字符串

要使用的 AWS 区域。

对于 IAM、Route53 和 CloudFront 等全局服务,将忽略 region

也可以使用 AWS_REGIONEC2_REGION 环境变量。

有关更多信息,请参阅 Amazon AWS 文档 http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region

已弃用 ec2_region 别名,将在 2024 年 12 月 1 日之后的版本中删除。

已弃用对 EC2_REGION 环境变量的支持,将在 2024 年 12 月 1 日之后的版本中删除。

密钥

别名:aws_secret_access_key, aws_secret_key, ec2_secret_key

字符串

AWS 密钥。

有关访问令牌的更多信息,请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys

也可以按优先级递减的顺序使用 AWS_SECRET_ACCESS_KEYAWS_SECRET_KEYEC2_SECRET_KEY 环境变量。

secret_keyprofile 选项互斥。

为与 AWS botocore SDK 保持一致,在 5.1.0 版本中添加了 aws_secret_access_key 别名。

已弃用 ec2_secret_key 别名,将在 2024 年 12 月 1 日之后的版本中删除。

已弃用对 EC2_SECRET_KEY 环境变量的支持,将在 2024 年 12 月 1 日之后的版本中删除。

会话令牌

别名:aws_session_token, security_token, aws_security_token, access_token

字符串

与临时凭证一起使用的 AWS STS 会话令牌。

有关访问令牌的更多信息,请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys

也可以按优先级递减的顺序使用 AWS_SESSION_TOKENAWS_SECURITY_TOKENEC2_SECURITY_TOKEN 环境变量。

security_tokenprofile 选项互斥。

在 3.2.0 版本中添加了别名 aws_session_tokensession_token,在 6.0.0 版本中将参数名称从 security_token 重命名为 session_token

已弃用 security_tokenaws_security_tokenaccess_token 别名,将在 2024 年 12 月 1 日之后的版本中删除。

已弃用对 EC2_SECRET_KEYAWS_SECURITY_TOKEN 环境变量的支持,将在 2024 年 12 月 1 日之后的版本中删除。

源账户

字符串

源所有者的 AWS 账户 ID(不含连字符)。例如,如果 source_arn 标识一个存储桶,则这是存储桶所有者的账户 ID。您可以使用此附加条件来确保您指定的存储桶由特定账户拥有(存储桶所有者可能已删除存储桶,而其他一些 AWS 账户创建了该存储桶)。您还可以使用此条件来指定特定账户拥有的所有来源(即,您没有指定 source_arn)。

源ARN

字符串

这是可选的;但是,当授予 Amazon S3 权限以调用您的函数时,您应使用存储桶 Amazon 资源名称 (ARN) 作为其值指定此字段。这确保只有从指定存储桶生成的事件才能调用该函数。

状态

字符串

描述所需状态。

选项

  • "present" ← (默认)

  • "absent"

语句 ID

别名:sid

字符串 / 必需

唯一的语句标识符。

验证证书

布尔值

设置为 false 时,将不会验证与 AWS API 通信的 SSL 证书。

强烈建议不要设置 validate_certs=false,作为替代方案,请考虑设置 aws_ca_bundle

选项

  • false

  • true ← (默认)

版本

整数

Lambda 函数的版本。与 alias 互斥。

备注

注意

  • 警告:对于模块,环境变量和配置文件是从 Ansible 的“主机”上下文而不是“控制器”上下文读取的。因此,可能需要将文件显式复制到“主机”。对于查找和连接插件,环境变量和配置文件是从 Ansible 的“控制器”上下文而不是“主机”上下文读取的。

  • Ansible 使用的 AWS SDK (boto3) 也可能从 Ansible“主机”上下文中的配置文件(通常为 ~/.aws/credentials)读取凭据和其他设置(例如区域)的默认值。有关更多信息,请参阅 https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html

示例

- name: Lambda S3 event notification
  amazon.aws.lambda_policy:
    state: present
    function_name: functionName
    alias: Dev
    statement_id: lambda-s3-myBucket-create-data-log
    action: lambda:InvokeFunction
    principal: s3.amazonaws.com
    source_arn: arn:aws:s3:eu-central-1:123456789012:bucketName
    source_account: 123456789012
  register: lambda_policy_action

- name: show results
  ansible.builtin.debug:
    var: lambda_policy_action

返回值

常见的返回值已记录在 此处,以下是此模块特有的字段

描述

lambda_policy_action

字符串

描述采取的操作。

返回:成功

示例:"added"

作者

  • Pierre Jodouin (@pjodouin)

  • Michael De La Rue (@mikedlr)