Lambdaデプロイ時の権限ポリシーiam:Passroleも必要だったので記録しておきます。
Lambdaデプロイ時にはデプロイユーザに以下のポリシーを設定する必要がありました。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::xxx:role/xxx",
"arn:aws:iam::xxx:role/xxx"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "lambda:*",
"Resource": [
"arn:aws:lambda:ap-northeast-1:xxx:function:xxx"
]
}
]
}