AWS Lambda 更新函数配置收到 AccessDeniedException。

关键在于为管道/工作角色/部署Lambda函数的用户添加网络相关策略。Lambda函数本身应该足以使用托管策略 - AWSLambdaVPCAccessExecutionRole。
arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole Action： - ec2:DescribeSecurityGroups - ec2:DescribeSubnets - ec2:DescribeVpcs Effect：允许 Resource: "*"

您的用户IAM策略需要进一步的权限。

例如，ec2:CreateSecurityGroup等。请参考此文档添加所需的权限。

我遇到了相同的问题。尽管用户的IAM策略具有所需的权限，但我无法使用aws cli创建带有VPC配置的lambda函数（aws lambda create-function）或修改现有函数以添加VPC配置（aws lambda update-function-configuration）。
我唯一能让它起作用的方法是创建不带VPC配置的lambda函数。然后，通过AWS控制台（在Lambda>函数>我的函数>网络中）修改函数以添加VPC配置信息（VPC、子网和安全组）。我只能使用控制台来完成这项操作，在完全自动化的过程中引入了手动步骤。
回答上面关于哪个用户需要ec2:DescribeSecurityGroups和相关权限的一些问题。运行cli命令或登录控制台的用户需要这些权限。该函数不需要提供这些权限的策略。带有VPC配置的函数所需的唯一特殊权限是：
- ec2:CreateNetworkInterface - ec2:DescribeNetworkInterfaces - ec2:DeleteNetworkInterface 这些功能允许函数在您提供的子网和安全组内创建 ENIs，请参见此处的描述。

Lambda函数角色和用户角色（无论是CloudFormation还是命令行用户）都必须具备以下要求：

          - ec2:CreateNetworkInterface
          - ec2:DescribeNetworkInterfaces
          - ec2:DeleteNetworkInterface
          - ec2:DescribeSecurityGroups
          - ec2:DescribeSubnets

如果您的用例允许，可以使用ec2：*作为安全性设置。

我在使用SAM / CloudFormation部署带有VPC配置的lambda时遇到了相同的问题，并通过添加上述内容解决了该问题。

在Github问题中，一些人说这是由于CloudFormation创建顺序不正确造成的，但经过测试，即使添加了20个虚拟资源，问题仍然存在，只有通过添加上述权限才能解决。

谢谢！