AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Comment résoudre l'erreur Lambda « The final policy size is bigger than the limit » ?

Lecture de 4 minute(s)

Lorsque je définis un déclencheur pour invoquer ma fonction AWS Lambda, l'erreur « The final policy size is bigger than the limit » s’affiche.

Brève description

Si la politique basée sur les ressources de votre fonction Lambda est supérieure à 20 Ko, Lambda renvoie une erreur « The final policy size is bigger than the limit ».

Cette erreur peut se produire lorsque vous créez des ressources pour d'autres services AWS qui ont besoin d'une autorisation pour accéder à votre fonction.

Remarque : La limite de quota de la politique basée sur les ressources de la fonction Lambda est de 20 Ko et ne peut pas être ajustée.

Résolution

Pour résoudre cette erreur, supprimez les instructions de politique répétitives et remplacez-les par des instructions consolidées qui utilisent des caractères génériques (*) pour réduire la taille de la politique de votre fonction.

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Examiner les politiques relatives aux ressources de votre fonction

Pour rechercher et consulter la politique basée sur les ressources de votre fonction Lambda, exécutez la commande get-policy suivante :

aws lambda get-policy --function-name your-function

Remarque : Remplacez your-function par le nom de ou l’Amazon Resource Name (ARN) de votre fonction.
Vous pouvez également utiliser le processeur JSON de ligne de commande, jq, dans la commande get-policy pour écrire des requêtes avancées. Pour en savoir plus sur le téléchargement et l'installation de jq, consultez la page Download jq sur le site Web de jq.
Exemple de commande get-policy qui utilise jq pour formater la politique d'une fonction Lambda sous forme de fichier JSON

aws lambda get-policy --function-name your-function | jq '.Policy|fromjson'

Exemple de commande get-policy qui utilise jq pour trouver la taille d’une politique d'une fonction Lambda

aws lambda get-policy --function-name your-function | jq -r '.Policy' | wc -c

Exemple de commande get-policy qui utilise jq pour trouver l'ID d'instruction (Sid) de certaines instructions de politique

aws lambda get-policy --function-name your-function | jq '.Policy | fromjson
| .Statement[]
| select(.Principal.Service=="events.amazonaws.com")
| .Sid'

Remarque : Remplacez events.amazonaws.com par le service AWS qui invoque votre fonction.
Exemple de commande get-policy qui utilise jq pour obtenir le Sid des ressources dont les noms commencent par la même chaîne

aws lambda get-policy --function-name your-function | jq '.Policy| fromjson
| .Statement[]
| select(.Condition.ArnLike."AWS:SourceArn" | startswith("arn:aws:events:region:account-id:rule/test-"))
| .Sid'

Remarque : Remplacez arn:aws:events:region:account-id:rule/test- par une chaîne partagée par les ARN des ressources dans plusieurs instructions de politique répétitives.

Dans la politique basée sur les ressources, identifiez les instructions de politique que vous pouvez remplacer par un caractère générique. Notez le Sid de chaque instruction de politique.

Supprimer des instructions de politique répétitives

Pour supprimer chaque instruction de politique répétitive, exécutez la commande remove-permission suivante :

aws lambda remove-permission --function-name your-function --statement-id sid

Remarque : Remplacez your-function par le nom ou l’ARN de votre fonction. Remplacez sid par le Sid de l’instruction de politique que vous souhaitez supprimer.

Ajouter des instructions de politique qui utilisent un caractère générique (*)

Pour ajouter de nouvelles instructions de politique consolidées qui incluent un caractère générique (*), exécutez la commande add-permission suivante :

aws lambda add-permission --function-name your-function \--statement-id 'sid' \
--action 'lambda:InvokeFunction' \
--principal 'events.amazonaws.com' \
--source-arn 'arn:aws:events:region:account-id:rule/test-*'

Remarque : Remplacez my-function par le nom ou l’ARN de votre fonction. Remplacez sid par un nouveau Sid de n'importe quelle valeur. Remplacez events.amazonaws.com par le service AWS ou le principal du compte AWS qui invoque votre fonction. Remplacez arn:aws:events:region:account-id:rule/test-* par une chaîne ARN (plus un caractère générique) partagée par les ressources auxquelles vous accordez des autorisations.

Pour plus d'informations, consultez la section Comment utiliser des politiques basées sur les ressources avec Lambda pour accorder des autorisations aux services AWS ?

Sujets: Serverless Compute
Balises: AWS Lambda
Langue: Français

Vidéos associées

Regarder la vidéo d'Ayush pour en savoir plus (3:22)

AWS OFFICIELA mis à jour il y a 3 mois

Aucun commentaire

Contenus pertinents

L3 Troubleshooting Workshop - Error when trying to increase the size of the Application settings VHD
Amina
demandé il y a 10 mois
Memory limit for Lambda
plesaint
demandé il y a 2 ans
Problème avec Layer AWS pour google-generativeai et erreur d'importation cygrpc
Baptiste
demandé il y a un an
AWS Lambda sharp package
Julien Griffon
demandé il y a 3 ans
Architecture Multi tenant en silo Model
Gregory
demandé il y a 4 mois
Comment puis-je utiliser des politiques basées sur les ressources avec AWS Lambda pour accorder des autorisations aux services AWS ?
AWS OFFICIELA mis à jour il y a 4 ans
Comment résoudre l'erreur « Lambda could not update the function's execution role » (Lambda n'a pas pu mettre à jour le rôle d'exécution de la fonction) lors de l'attachement du proxy Amazon RDS à une fonction Lambda ?
AWS OFFICIELA mis à jour il y a 4 ans
Pourquoi ma ressource proxy API Gateway dotée d'un mécanisme d’autorisation Lambda dont la mise en cache est activée renvoie-t-elle des erreurs HTTP 403 « User is not authorized to access this resource » ?
AWS OFFICIELA mis à jour il y a un an
Pourquoi reçois-je une erreur d'autorisation lorsque j'essaie d'abonner ma fonction Lambda à ma rubrique Amazon SNS ?
AWS OFFICIELA mis à jour il y a 4 ans