AWS::RDS::DBInstance 不是從 cloudformation 創建的

Question

這是我創建 DBInstance 的 cloudformation json 代碼。 我已成功創建 VPC 和 EC2 實例並添加此代碼以創建 DBInstance。 但是我在使用包含此 DBInstance 代碼的新 json 文件更新我的堆棧時遇到以下錯誤。

無法創建資源。 驗證您是否有權創建服務相關角色。 否則請稍后再試（服務：AmazonRDS；狀態代碼：400；錯誤代碼：InvalidParameterValue；請求 ID：1b64b02f-255a-4f5d-b68a-b0bacf6f2dba）

"myDBInstance" : {
  "Type" : "AWS::RDS::DBInstance",
  "Properties" : {
    "DBName" : { "Ref" : "DBName"},
    "AllocatedStorage" : "20",
    "DBInstanceClass" : { "Ref" : "DBInstanceClass"},
    "Engine" : "MySQL",
    "EngineVersion" : "5.7.17",
    "MasterUsername" : { "Ref" : "DBUser"},
    "MasterUserPassword" : { "Ref" : "DBPassword"},
    "DBParameterGroupName" : { "Ref" : "myRDSParameterGroup"}
  }
},
"myRDSParameterGroup" : {
  "Type" : "AWS::RDS::DBParameterGroup",
  "Properties" : {
    "Family" : "MySQL5.6",
    "Description" : "Cloudformation database parameter group",
    "Parameters" : {
      "autocommit" : "1",
      "general_log" : "1",
      "old_passwords" : "0"
    }
  }
}

在此處輸入圖像描述

Answer 1

AWS 在他們的文檔中專門針對 RDS 回答了這個問題： https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAM.ServiceLinkedRoles.html

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"rds.amazonaws.com"
        }
    }
}

Answer 2

實際上，我早些時候也遇到過同樣的問題，響應本身說明了問題所在。
“無法創建資源。請確認您具有創建服務鏈接角色的權限。”

意味着您用來創建此資源的IAM用戶沒有創建服務鏈接角色的權限，因此您需要按以下方式將此權限添加到IAM用戶策略中。

解：

{
   "Effect": "Allow",
   "Action": "iam:CreateServiceLinkedRole",
   "Resource": "*"
}