Я пытаюсь настроить лямбда-преобразования с помощью потока доставки Firehose. У меня есть роль IAM, определенная для Firehose, которая включает следующий документ политики:
{
"Statement": {
"Action": [
"lambda:InvokeFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": [<Arn>, ...],
"Effect": "Allow"
}
}
Я также предоставил sts: AssumeRole доступ к роли Lambda из Firehose.
Теоретически это должно предоставить моему Firehose "Invoke" доступ к указанным лямбда-адресам. Но трансформации терпят неудачу
{
"errorCode":"Lambda.InvokeAccessDenied",
"errorMessage":"Access was denied. Ensure that the access policy allows access to the Lambda function."
}
и никакие вызовы функций не видны из консоли Lambda. Правильно ли настроены мои компоненты IAM? Или здесь что-то еще не так?