如何设置依赖于使用 SAM 创建的另一个无服务器函数的 ARN 的 SAM 调用权限？

Question

我正在将 SAM 模板添加到现有的无服务器应用程序中。我没有。调用其他 lambda 的 Lambda，并且调用者具有指定“被调用者”或调用的 lambda 的 ARN 的策略。在这种情况下，策略创建可以完成一次，因为我的函数名称是静态的，例如：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-west-2:[acct-no]:function:MyLambda"
        }
    ]
}

我可以为调用者授予此策略的角色，而无需在更新被调用者时更改它。然而，在 SAM/CloudFormations 框架下，创建的函数会自动在其名称后附加一个字符串（例如 arn:aws:lambda:us-west-2:[acct-no]:function:MyLambda-3kx71lzkhge3），这会使之前创建的策略无效，因为旧的 ARN 不再有效，这让我觉得我需要动态创建策略 ARN。

我不确定这样做的正确方法是什么。我的理解是 ARN 是 sam deploy 的输出，所以目前，我的想法是首先部署调用者，记下 ARN，然后使用 ARN 更新调用者的 sam 模板，然后部署调用者。然而，这感觉不正确，因为它是设计为自动化的过程的手动干预。我想知道是否有另一种方法可以解决这个问题，如果有人能提供任何见解，我将不胜感激。

Answer 1

您的直觉是正确的，您不应该手动执行任何操作，或使用多个部署。 CloudFormation 将允许您使用 GetAtt 调用其他 lambda 的 ARN 来执行此操作。 :

"MyFieldName": "Fn::GetAtt": ["MyLambdaFunc","Arn"]

所以你的 JSON 将是：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "Fn::GetAtt": ["MyLambda","Arn"]
        }
    ]
}