Lamba関数を発行しようとしたときにAccessDeniedを取得するのはなぜですか？

Question

私は、ある地域から別の地域にInstanceDBSnapshotsをコピーするはずのAWSラムダ関数を作成しました。

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Stmt1510479591000", 
      "Effect": "Allow", 
      "Action": [ 
       "rds:CreateDBInstance", 
       "rds:CreateDBSecurityGroup", 
       "rds:CreateDBSnapshot", 
       "rds:CreateDBSubnetGroup", 
       "rds:DeleteDBInstance", 
       "rds:DeleteDBSecurityGroup", 
       "rds:DeleteDBSnapshot", 
       "rds:DeleteDBSubnetGroup", 
       "rds:DescribeDBInstances", 
       "rds:DescribeDBSecurityGroups", 
       "rds:DescribeDBSnapshotAttributes", 
       "rds:DescribeDBSnapshots", 
       "rds:DescribeDBSubnetGroups", 
       "rds:ModifyDBInstance", 
       "rds:ModifyDBSubnetGroup", 
       "rds:RestoreDBInstanceFromDBSnapshot" 
      ], 
      "Resource": [ 
       "arn:aws:rds:*" 
      ] 
     } 
    ] 
} 

と呼ばれるアマゾンのポリシー： "AWSLambdaBasicExecutionRole"

次のポリシーがロールに取り付けられています。

私は機能を実行すると、私は次のエラーを取得する：「：AWS：STS ARN」は、どのようにこの機能が正常に実行できるように

START RequestId: c5f62f26-c7b6-11e7-8fd4-c9b54c37d712 Version: $LATEST An error occurred (AccessDenied) when calling the DescribeDBSnapshots operation: User: arn:aws:sts::ACCOUNT:assumed-role/cc/Cross-Copy-DB-Snapshots is not authorized to perform: rds:DescribeDBSnapshots: ClientError

私がいることが何であるかを理解していません。

誰でもこの問題とそれを解決する方法を知っていますか？

Answer 1

あなたの役割に何か問題があります。これは動作するはずです：

{ 
"Version": "2012-10-17", 
"Statement": [ 
    { 
     "Action": [ 
      "logs:CreateLogGroup", 
      "logs:CreateLogStream", 
      "logs:PutLogEvents" 
     ], 
     "Resource": "arn:aws:logs:*:*:*", 
     "Effect": "Allow" 
    }, 
    { 
     "Action": [ 
      "rds:DescribeDBSnapshots", 
      "rds:DeleteDBSnapshot", 
      "rds:CopyDBSnapshot" 
     ], 
     "Resource": "*", 
     "Effect": "Allow" 
    } 
] 
}