Wie behebe ich den Fehler „Lambda could not update the function's execution role“ beim Anfügen von Amazon-RDS-Proxy an eine Lambda-Funktion?

Lesedauer: 2 Minute
0

Wenn ich versuche, Amazon-RDS-Proxy an eine AWS-Lambda-Funktion anzufügen, erhalte ich die folgende Fehlermeldung: „Lambda could not update the function's execution role“. Wie behebe ich den Fehler?

Kurzbeschreibung

Lambda kann aus folgenden Gründen den Fehler Lambda could not update the function's execution role zurückgeben:

  • Der Lambda-Ausführungsrolle ist mehr als eine vertrauenswürdige Entität zugeordnet.
  • Der Ausführungsrolle der Lambda-Funktion sind 10 Richtlinien zugeordnet.
  • Der angemeldete AWS Identity and Access Management (IAM)-Benutzer verfügt nicht über die Berechtigungen „CreatePolicy“ und „AttachRolePolicy“.

Behebung

Sicherstellen, dass der Ausführungsrolle der Lambda-Funktion nur eine vertrauenswürdige Entität zugeordnet ist

Überprüfen Sie die Ausführungsrolle Ihrer Funktion und stellen Sie sicher, dass nur der Lambda-Service (lambda.amazonaws.com) die Rolle übernehmen kann.

Hinweis: Damit dieselbe Rolle von anderen Services übernommen werden kann, erstellen Sie eine neue Rolle und konfigurieren Sie diese Services als vertrauenswürdige Entitäten.

Sicherstellen, dass der Ausführungsrolle der Lambda-Funktion nicht 10 Richtlinien zugeordnet sind

Überprüfen Sie die Ausführungsrolle Ihrer Funktion, um festzustellen, ob ihr 10 Richtlinien zugeordnet sind. Wenn der Rolle 10 Richtlinien zugeordnet sind, erstellen Sie eine einzige, benutzerdefinierte Richtlinie, um die vorhandenen zu ersetzen.

Hinweis: Wenn der Ausführungsrolle 10 Richtlinien zugeordnet sind, kann die Lambda-Funktion die erforderliche RDS-Proxy-Richtlinie nicht erstellen und an die Rolle anfügen.

Beispiel für eine RDS-Proxy-Richtlinie

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds-db:connect",
            "Resource": "Proxy ARN"
        }
    ]
}

Sicherstellen, dass der angemeldete IAM-Benutzer über die Berechtigungen „CreatePolicy“ und „AttachRolePolicy“ verfügt

Überprüfen Sie die IAM-Richtlinie des angemeldeten IAM-Benutzers und stellen Sie sicher, dass die Richtlinie die Berechtigungen „CreatePolicy“ und „AttachRolePolicy“ enthält. Wenn die Richtlinie des Benutzers nicht die erforderlichen Berechtigungen enthält, gewähren Sie dem Benutzer die Berechtigungen „CreatePolicy“ und „AttachRolePolicy“.

Hinweis: Wenn der angemeldete IAM-Benutzer nicht über die erforderlichen Berechtigungen verfügt, zeigt die Lambda-Konsole einen oder beide der folgenden Fehler an:

  • „User <user-arn> is not authorized to perform: iam:CreatePolicy on resource: policy <policy-name>"
  • „User <user-arn> is not authorized to perform: iam:AttachRolePolicy on resource: role <role-name>"

 


AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren