Global outage event

If you’re experiencing issues with your AWS services, then please refer to the AWS Health Dashboard. You can find the overall status of ongoing outages, the health of AWS services, and the latest updates from AWS engineers.

¿Cómo puedo solucionar el error «The final policy size is bigger than the limit» de Lambda?

4 minutos de lectura

Cuando configuro un desencadenador para invocar mi función de AWS Lambda, aparece el error «The final policy size is bigger than the limit».

Descripción corta

Si la política basada en recursos de la función de Lambda supera los 20 KB, Lambda devuelve el error «The final policy size is bigger than the limit».

Este error puede producirse al crear recursos para otros servicios de AWS que necesitan permiso para acceder a tu función.

Nota: El límite de cuota de la política basada en recursos de la función de Lambda es de 20 KB y no se puede ajustar.

Resolución

Para solucionar este error, elimina las instrucciones de política repetitivas y sustitúyelas por instrucciones consolidadas que usen caracteres comodín (*) para reducir el tamaño de la política de la función.

Nota: Si se muestran errores al ejecutar comandos de la AWS CLI, consulta Solución de errores de la AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Revisión de las políticas basadas en recursos de la función

Para buscar y revisar la política basada en recursos de tu función de Lambda, ejecuta el siguiente comando get-policy:

aws lambda get-policy --function-name your-function

Nota: Sustituye your-function por el nombre de tu función o el nombre de recurso de Amazon (ARN).
También puedes utilizar el procesador JSON de la línea de comandos, jq, en el comando get-policy para escribir consultas avanzadas. Para obtener información sobre cómo descargar e instalar jq, consulta Download jq (Descargar jq) en el sitio web de jq.
Ejemplo de comando get-policy que usa jq para formatear la política de una función de Lambda como un archivo JSON

aws lambda get-policy --function-name your-function | jq '.Policy|fromjson'

Ejemplo de comando get-policy que usa jq para encontrar el tamaño de la política de una función de Lambda

aws lambda get-policy --function-name your-function | jq -r '.Policy' | wc -c

Ejemplo de comando get-policy que usa jq para buscar el ID de la instrucción (Sid) de determinadas instrucciones de política

aws lambda get-policy --function-name your-function | jq '.Policy | fromjson
| .Statement[]
| select(.Principal.Service=="events.amazonaws.com")
| .Sid'

Nota: Sustituye events.amazonaws.com por el servicio de AWS que invoca la función.
Ejemplo de comando get-policy que usa jq para obtener el Sid de los recursos cuyo nombre comienza con la misma cadena

aws lambda get-policy --function-name your-function | jq '.Policy| fromjson
| .Statement[]
| select(.Condition.ArnLike."AWS:SourceArn" | startswith("arn:aws:events:region:account-id:rule/test-"))
| .Sid'

Nota: Sustituye arn:aws:events:region:account-id:rule/test- por una cadena compartida por los ARN de los recursos en varias instrucciones de política repetitivas.

En la política basada en recursos, identifica las instrucciones de política que puedas reemplazar por un comodín. Anota el Sid de cada instrucción de política.

Eliminación de instrucciones de política repetitivas

Para eliminar cada instrucción de política repetitiva, ejecuta el siguiente comando remove-permission:

aws lambda remove-permission --function-name your-function --statement-id sid

Nota: Sustituye your-function por el nombre o el ARN de tu función. Sustituye sid por el Sid de la instrucción de política que desees eliminar.

Agregación de instrucciones de política que usen un comodín (*)

Para agregar declaraciones de política nuevas y consolidadas que incluyan un comodín (*), ejecuta el siguiente comando add-permission:

aws lambda add-permission --function-name your-function \--statement-id 'sid' \
--action 'lambda:InvokeFunction' \
--principal 'events.amazonaws.com' \
--source-arn 'arn:aws:events:region:account-id:rule/test-*'

**Nota:**Sustituye my-function por el nombre o el ARN de tu función. Sustituye sid por un nuevo Sid con cualquier valor. Sustituye events.amazonaws.com por la entidad principal del servicio o la cuenta de AWS que invoca tu función. Sustituye arn:aws:events:region:account-id:rule/test-* por una cadena de ARN (más un comodín) compartida por los recursos a los que estás concediendo permisos.

Para obtener más información, consulta ¿Cómo puedo usar políticas basadas en recursos con Lambda para conceder permisos a los servicios de AWS?

Temas: Serverless Compute
Etiquetas: AWS Lambda
Idioma: Español

Vídeos relacionados

Ve el vídeo de Ayush para obtener más información (3:22)

OFICIAL DE AWSActualizada hace 5 meses

Sin comentarios

Contenido relevante

Como solucionar el error: Supplied Policy document is breaching Cloudwatch Logs policy length limit.
Respuesta aceptada
Enrique
preguntada hace un año
Validación del uso de CloudFront en un entorno multi-tenant con behaviors + Lambda@Edge y recomendaciones para obtener un comportamiento predecible.
F_Ruben
preguntada hace 3 meses
Lambda HTTP Authorizer y función no generan logs en CloudWatch cuando están en warm start
EstebanRojasBarrera
preguntada hace 9 meses
EventBridge Scheduler ejecuta Lambda múltiples veces por minuto sin tener ventana flexible activa
Fran
preguntada hace 8 meses
Importar un script de Python en una función Lambda
Skynotelink
preguntada hace 4 meses
¿Cómo puedo usar políticas basadas en recursos con AWS Lambda para conceder permisos a los servicios de AWS?
OFICIAL DE AWSActualizada hace 4 años
¿Cómo soluciono el error «exceeded the maximum limit for Lambda HyperPlane elastic network interfaces for your VPC» en una función de Lambda?
OFICIAL DE AWSActualizada hace un año
¿Cómo soluciono los problemas de limitación de la función de Lambda con los errores «Rate exceeded» y «TooManyRequestsException»?
OFICIAL DE AWSActualizada hace 10 meses
¿Cómo puedo solucionar los problemas de integración de Lambda Kinesis Firehose?
OFICIAL DE AWSActualizada hace 3 años