Для ответа вам нужно больше информации. Многие различные разрешения вступают в игру при развертывании с SAM. Я внедрил шаблон SAM для своей компании, чтобы управлять нашими лямбда-стеками. Нам нужно было предоставить нашим разработчикам Java, работающим со стеками, те же разрешения, которые неявно и явно создает шаблон SAM, помимо простого создания ролей. Для этого мы создали несколько специальных групп в IAM, к которым также прикрепили наших разработчиков без серверов. Можно назначить определенные предопределенные роли для Lambdas, https://github.com/awslabs/serverless-application-model/blob/master/versions/2016-10-31.md#awsserverlessfunction. Если вы определяете роль в шаблоне, она не создает роль автоматически. Однако, если вы объявляете другие ресурсы, такие как Api Gateway и DynamoDB, у вас все равно будут проблемы.
Короче говоря, если вы работаете с SAM, то лучше, если ваш системный администратор предоставит вам разрешения на создание роли, и вам также понадобятся другие разрешения, или же развертывание шаблона SAM будет выполнено исполнителем заданий. как Дженкинс (у которого есть разрешения). Если это слишком благоприятно для вашей команды / компании, возможно, SAM не является хорошим решением ... Лучше всего переключиться на что-то вроде чистого CloudFormation и отказаться от рабочего процесса, ориентированного на разработчика. Есть о чем подумать, надеюсь, это полезно.