Secondary policy permission grants - Web Identity/Assume Role

Hey!

I have a policy statement for allowing an assumed role via web identity. It works fine. I have a role which this policy is attached to with permissions to invoke a lambda function. I can invoke a Lambda function with this role in AWS.

Here's my question - when invoking a lambda function via the web identity assumed rule (hypothetically let's say GCP) - it tells me that no policy allows me to invoke the lambda function - but that I have assumed the role. When I edit the specific policy for the web identity role assumption to also include the invoke the lamba function - this works fine.

The workaround seems fine - but my understanding is that I shouldn't need it. My role having the invoke lambda policy - and my web identity policy allowing me to assume that role - should be enough -no? Is there a quick refresher on why I need the secondary policy grant in the web identity grant?

Oleksii Bebych エキスパート
2日前
Please accept the answer if it was useful for you

トピック

サーバーレス計算するセキュリティ、アイデンティティ、コンプライアンス

タグ

AWS Lambda IAM ポリシーマルチクラウド

言語

English

Mike Goodstein

質問済み 2ヶ月前104ビュー

1回答

新しい順
投票が多い順
コメントが多い順

When you assume a role via web identity, you get temporary credentials (access and secret keys) and use them to perform some actions, which are allowed by IAM policy

If this role assumes another role, temporary credentials change, so you need to use new creds to Execute Lambda (in your case)

エキスパート

Oleksii Bebych

回答済み 2ヶ月前

エキスパート

Artem

レビュー済み 2ヶ月前

エキスパート

Osvaldo Marte

レビュー済み 2ヶ月前

Mike Goodstein
2ヶ月前
Hey - I think the way I'm seeing it - my external account is assuming the role.

role includes policy statements 1-5 (which includes lambda trust policy/invoke lambda/web identity policy)

I thought the Role w. attached policy bundle would be enough to provide the web identity the lambda invoke role? I'll double check on my end if I misconfigured something. Right now - it looked like the Lambda resource permissions had to be placed in the web identity policy itself (vs the role).

関連するコンテンツ

How to add a policy to the permission policy of IAM roles that allows only users verified through the Cognito user pool to download files during S3 download.如何追加一个策略，使得该策略可以在S3下载时，仅允许通过Cognito用户池验证的用户
承認された回答
Dgk
質問済み 4ヶ月前
RDS for MySQL 8.0.35でPlugin mysql_native_password reported: ''mysql_native_password' is deprecated and will be removed in a future release. Please use caching_sha2_password instead'のエラーが継続して発生する
parma
質問済み 4ヶ月前
Elastic Beanstalk 環境の作成に失敗する(Environment must have instance profile associated with it.)
承認された回答
rePost-User-3443462
質問済み 1年前
IAM Identity Center上でAdministratorAccessを付与しているユーザーでログインしている際に、AWS IoT Coreでモノのアクティビティに「Unable to connect to the Device Gateway」エラーが表示される場合の権限設定についての質問
kmgp
質問済み 13日前
Amazon S3 でバケットポリシーを変更しようとすると表示される「You don't have permissions to edit bucket policy」というエラーをトラブルシューティングするにはどうすればよいですか?
AWS公式更新しました 1年前
Amazon EKS の「Your current user or role does not have access to Kubernetes objects on this EKS cluster」というエラーを解決する方法を教えてください。
AWS公式更新しました 1年前
IAM エラー「Maximum policy size of xxxxx bytes exceeded for the user or role (ユーザーまたはロールのポリシーの最大サイズが xxxxx バイトを超えました) 」を解決するにはどうすればよいですか。
AWS公式更新しました 2年前
「Policy contains a statement with one or more invalid principals (1 つ以上の無効なプリンシパルを持つステートメントがポリシーに含まれています)」という AWS KMS キーポリシーエラーを解決する方法を教えてください。
AWS公式更新しました 2年前
AWS Application Migration Service (MGN) とエージェントレス vCenter クライアントを利用して VMware 仮想環境から AWS への移行を加速させる
エキスパート
Koichi Takeda
公開済み 20日前
アベイラビリティーゾーン (AZ) の移行&インスタンスのアップグレードガイド
エキスパート
Sumikawa_M
公開済み 3ヶ月前