sam deploy で Service: Lambda, Status Code: 403が発生する

一度、sam deployも問題なく実行できていたがローカルのアプリケーション(プロジェクト)名を変更した際にエラーが発生するようになった。

試したこと

プロジェクト名に対応したソースの変更
IAM/実行ロールの権限追加
ローカルファイルの切り戻し

実現したいこと

sam deployを成功させたい

前提

下記インストール済み

$ python --version
 Python 3.8.5

$ aws --version
 aws-cli/1.19.46 Python/3.9.4 Darwin/19.6.0 botocore/1.20.46

$ sam --version
 SAM CLI, version 1.22.0

下記は実行できる

$ sam init
$ sam build -t template.json

IAMユーザーには下記をアタッチ済み

AmazonS3FullAccess
AdministratorAccess
AWSCompromisedKeyQuarantineV2

Lambda関数の実行ロール

AmazonS3FullAccess
AmazonDynamoDBFullAccess
AWSLambdaDynamoDBExecutionRole
AWSLambdaBasicExecutionRole
AWSLambda_FullAccess

作成したソース

template.json

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Transform": "AWS::Serverless-2016-10-31",
  "Parameters": {
    "LineChannelAccessToken": {"Type": "String", "Description": "LINE のアクセストークン"},
    "LineChannelSecret": {"Type": "String", "Description": "LINE のチャンネルシークレット"}
  },
  "Resources": {
    "EndPointFunction": {
      "Type": "AWS::Serverless::Function",
      "Properties": {
        "Runtime": "python3.8",
        "CodeUri": "src",
        "Handler": "mylinebot.lambda_handler",
        "Environment": {"Variables": {
            "LINE_CHANNEL_ACCESS_TOKEN": {"Ref": "LineChannelAccessToken"},
            "LINE_CHANNEL_SECRET": {"Ref": "LineChannelSecret"}
        }},
        "Policies": [{"RekognitionDetectOnlyPolicy": {}}],
        "Events": {
          "API": {
            "Type": "Api",
            "Properties": {"Path": "/api_endpoint", "Method": "post"}
          }
        }
      }
    }
  },
  "Outputs": {
    "ApiEndpointURL": {
      "Description": "API Endpoint URL",
      "Value": {"Fn::Sub": "https://${ServerlessRestApi}.execute-api.${AWS::Region}.amazonaws.com/${ServerlessRestApi.Stage}/api_endpoint"}
    }
  }
}

追加したLambdaのポリシーステートメント

Statement ID
 my-app-EndPointFunctionAPIPermissionProd-☓☓☓☓☓☓☓☓☓☓☓☓☓
Principal
 apigateway.amazonaws.com
Effect
 Allow
Action
 lambda:InvokeFunction
Conditions
{
 "ArnLike": {
  "AWS:SourceArn": "arn:aws:execute-api:ap-northeast-1:☓☓☓☓☓☓☓☓☓☓☓☓☓:☓☓☓☓☓☓☓☓/*/POST/api_endpoint"
 }
}

発生しているエラー

EndPointFunction UPDATE_FAILED

Resource handler returned message: "User: arn:aws:iam::☓☓☓☓☓☓☓☓☓☓☓☓:user/test-user is not authorized to perform: lambda:UpdateFunctionCode on resource: arn:aws:lambda:ap-northeast-1:☓☓☓☓☓☓☓☓☓☓☓☓:function:my-app-EndPointFunction-☓☓☓☓☓☓☓☓☓☓☓☓ with an explicit deny (Service: Lambda, Status Code: 403, Request ID: ☓☓☓☓☓☓☓☓-☓☓☓☓-☓☓☓☓-☓☓☓☓-☓☓☓☓☓☓☓☓☓☓☓☓, Extended Request ID: null)" (RequestToken: ☓☓☓☓☓☓☓☓-☓☓☓☓-☓☓☓☓-☓☓☓☓-☓☓☓☓☓☓☓☓☓☓☓☓, HandlerErrorCode: AccessDenied)

行動規範の内容に同意します

回答1件

自己解決

Error:An error occurred (AccessDeniedException) when calling the PutItem operation

↑
DynamoDBにデータ格納する際に出たエラーを解決するために、Lambda実行ロールへ雑にアタッチした下記が原因でした。
・AmazonDynamoDBFullAccess　→これだけでよかった
・AWSLambdaDynamoDBExecutionRole
・AWSLambda_FullAccess

ただ、ポリシーの競合？があったのか調べても原因がわからないままです。
ご存知の方いれば教えていただきたいです。

投稿2021/05/18 04:42

theaaa

総合スコア9