Во-первых, будьте очень внимательны при назначении пользователям «полного» доступа к услугам.
На основании этих разрешений ваши пользователи смогут:
- Удалить все базы данных RDS
- Завершить работу всех экземпляров EC2
- Удалить все репозитории CodeCommit
- Удалить все лямбда-функции
- Удалить всех пользователей IAM (включая ваш логин!)
- Предоставьте себе разрешение на все, что угодно на своем аккаунте AWS!
Наилучшим методом было бы, чтобы системный администратор создал роль IAM для использования лямбда-функцией после проверки ее, чтобы подтвердить, что она не дает чрезмерного разрешения. Затем они предоставят конкретным пользователям разрешение назначать роль лямбда-функции. Я не вижу причин назначать им все эти разрешения (например, RDS, EC2) только для написания лямбда-функции.
Во-вторых, если вы хотите назначить разрешения нескольким пользователям IAM, лучше назначить разрешения для IAM Group , а затем связать группу с каждым пользователем. Таким образом, вы можете настроить разрешения в одном месте, а не делать это для каждого пользователя индивидуально.
Относительно того, почему вы получаете сообщение об ошибке, возможно, существует ограничение для вашей учетной записи с помощью правила AWS Organizations для учетной записи более высокого уровня. В противном случае кажется, что вы назначили довольно щедрые разрешения и не должны получать эту ошибку.