{
"Effect" : "Allow" || "Deny"
"Action": "resource:ActionName"
"Resource: [
"arn:aws:{RESOURCE_NAME}:{AWS_REGION}:{ACCOUNT_ID}:{RESOURCE_TYPE}:{RESOURCE_ID}
]
{
"Effect":"Allow",
"Action":"iam:CreateRole",
"Resource": "*"
}
이름 그대로 iam:CreateRole
은 IAM Role을 생성할 수 있는 권한이다.
{
"Effect":"Allow",
"Action":"lambda:CreateFunctionm",
"Resource":"arn:aws:lambda:{AWS_REGION}:{ACCOUNT_ID}:function:{Lambda-Name}"
}
{
"Effect":"Allow",
"Action":"iam:PassRole",
"Resource":"arn:aws:iam::{ACCOUNT_ID}:role/{Role-Name}"
}
IAM 리소스는 region 명시가 필요하지 않다.
iam:PassRole
은 특정 'Role'을 리소스에 할당할 수 있는 권한이다.
일일히 수작업하지 않고 위 사이트에서 JSON 형식의 Policy 생성이 가능하다.