principal states.amazonaws.com 无权担任提供的角色

Posted 2023-03-24

【中文标题】principal states.amazonaws.com 无权担任提供的角色

【英文标题】：principal states.amazonaws.com is not authorized to assume the provided role

【发布时间】：2021-12-31 08:11:43

【问题描述】：

我使用 Terraform 创建了一个 AWS 步进函数。目前，step 函数目前只有 1 个 lambda 函数：

resource "aws_iam_role_policy" "sfn_policy" 
  policy = jsonencode(

  "Version": "2012-10-17",
  "Statement": [
    
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
       "Resource": "*"
    ,
    
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction",
                "lambda:InvokeAsync"
            ],
            "Resource": "*"
    ,
    
            "Effect": "Allow",
             "Action": [ "states:StartExecution" ],
            "Resource": "*"
        
  ]

  )
  role = aws_iam_role.processing_lambda_role.id



resource "aws_sfn_state_machine" "sfn_state_machine_zip_files" 
  name     = local.zip_files_step_function_name
  role_arn = aws_iam_role.processing_lambda_role.arn

  definition = <<EOF

  "Comment": "Process Incoming Zip Files",
  "StartAt": "ProcessIncomingZipFiles",
  "States": 
    "ProcessIncomingZipFiles": 
      "Type": "Task",
      "Resource": "$aws_lambda_function.process_zip_files_lambda.arn",
      "ResultPath": "$.Output",
      "End": true
    
  

EOF

这是最初定义角色的方式：

resource "aws_iam_role" "processing_lambda_role" 
  name = local.name
  path = "/service-role/"

  assume_role_policy = jsonencode(
    Version   = "2012-10-17"
    Statement = [
      
        Effect    = "Allow"
        Principal =  Service = "lambda.amazonaws.com" 
        Action    = "sts:AssumeRole"
      
    ]
  )

为什么即使策略已经包含 AssumeRole 策略，我也会收到此错误消息。我还尝试删除 sts:AssumeRolepolicies 之一，但错误仍然存​​在。

"Neither the global service principal states.amazonaws.com, nor the regional one is authorized to assume the provided role."

AWS 文档参考：https://aws.amazon.com/premiumsupport/knowledge-center/step-functions-iam-role-troubleshooting/

【参考方案1】：

角色aws_iam_role.processing_lambda_role 只能由 lambda 函数承担。所以，你的aws_sfn_state_machine.sfn_state_machine_zip_files 不能担任这个角色。您必须将角色中的Principal 更改为：

Principal =  Service = "lambda.amazonaws.com" 

进入

Principal =  Service = "states.amazonaws.com" 

您可能还有其他问题，具体取决于您想要做什么。但是您报告的错误是由于我提到的。

【讨论】：

我也在为另一个 lambda 函数使用相同的角色（即在步进函数/状态机之外）。在这种情况下，我可以在主体中添加两个服务吗？或者states.amazonaws.com 预计两者都可以使用？应该不会

或者是否有一个通用的原则可以同时用于 lambdas 和状态机？

@Jbd 通常的方式是拥有两个角色。不知道为什么要为两者使用一个角色。