まず最初に、 今回実行するLambda関数に必要な権限を付与するためのIAMロールを作成していきます。
Lambda関数を実行する上で、最低限必要な権限となります。
前提条件
IAMへの権限
IAMに対してフル権限があること。
AWS CLI
以下のバージョンで動作確認済
- AWS CLI 1.10.60
aws --version
結果(例):
aws-cli/1.11.34 Python/2.7.10 Darwin/15.6.0 botocore/1.4.91
バージョンが古い場合は最新版に更新しましょう。
sudo -H pip install -U awscli
- 準備
=======
0.1. 変数の確認
プロファイルが想定のものになっていることを確認します。
aws configure list
結果(例):
Name Value Type Location
---- ----- ---- --------
profile iamFull-prjz-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************XXXX shared-credentials-file
secret_key ****************XXXX shared-credentials-file
region ap-northeast-1 env AWS_DEFAULT_REGION
今回は、IAMでの作業となるため、リージョンはどこになっていても影響あり
ません。
0.2. IAMロール名の指定
ポリシーをアタッチするIAMロールを指定します。
IAM_ROLE_NAME="StepFunctionsRole-${AWS_DEFAULT_REGION}" \
&& echo ${IAM_ROLE_NAME}
IAMロールの内容を確認しましょう。
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例):
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "states.${AWS_DEFAULT_REGION}.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAXXXXXXXXXXXXXXXXX",
"CreateDate": "2017-03-18T01:23:45Z",
"RoleName": "StepFunctionsRole-ap-northeast-1",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/StepFunctionsRole-ap-northeast-1"
}
}
- 事前作業
===========
次に、このIAMロールにIAMポリシーを適用して、このIAMロールを利用するこ
とで得られる権限を決定します。
1.1. IAMロールに適用するIAMポリシーの決定
今回のStepFunctionsを実行する上で必要となる権限については、すでにAWS管
理ポリシーで''AWSLambdaRole'という名前で提供されています。
まず、'Lambda'というキーワードでAWS管理ポリシーから検索してみましょう
。
SEARCH_KEYWORD='Lambda'
aws iam list-policies \
--scope AWS \
--max-items 1000 \
--query "Policies[?contains(PolicyName, \`${SEARCH_KEYWORD}\`)].PolicyName"
結果(例):
[
"AWSLambdaFullAccess",
"AWSLambdaDynamoDBExecutionRole",
"AWSLambdaExecute",
"AWSLambdaKinesisExecutionRole",
"AWSLambdaReadOnlyAccess",
"AWSLambdaBasicExecutionRole",
"AWSLambdaInvocation-DynamoDB",
"AWSLambdaVPCAccessExecutionRole",
"AWSLambdaRole",
"AWSLambdaENIManagementAccess"
]
利用するIAMポリシーを決めます。
IAM_POLICY_NAME='AWSLambdaRole'
次に、ポリシーを特定するためのAWSリソース識別名(ARN)を取得します。
IAM_POLICY_ARN=$( \
aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
--output text \
) \
&& echo "${IAM_POLICY_ARN}"
結果(例):
arn:aws:iam::aws:policy/service-role/AWSLambdaRole
ポリシーの内容を見るために、そのポリシーの最新バージョン名を取得します
。
IAM_POLICY_VERSION=$( \
aws iam list-policies \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}
結果(例)
v1
ポリシーの最新バージョンの内容を見てみましょう。
aws iam get-policy-version \
--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}
結果(例):
{
"PolicyVersion": {
"CreateDate": "2015-02-06T18:41:28Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
},
"IsDefaultVersion": true
}
}
以下の権限を許可されていることがわかります。
- lambda:InvokeFunction
これは、Lambda関数を実行するために必要な権限です。
1.2. IAMポリシーの確認
IAMロールに適用されているIAMポリシーを確認してみましょう。
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果:
{
"AttachedPolicies": [],
}
作成直後のIAMロールには、適用されているIAMポリシーはありません。
- IAMポリシーの適用
====================
IAMロールにIAMポリシーを適用します。
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
IAM_POLICY_ARN: ${IAM_POLICY_ARN}
ETX
aws iam attach-role-policy \
--role-name ${IAM_ROLE_NAME} \
--policy-arn ${IAM_POLICY_ARN}
結果:
(戻り値なし)
- 事後作業
===========
ポリシーの確認
IAMロールに適用されているIAMポリシーを再度確認してみましょう。
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果(例):
{
"AttachedPolicies": [
{
"PolicyName": "AWSLambdaRole",
"PolicyArn": "arn:aws:iam::aws:policy/service-role/AWSLambdaRole"
}
]
}
完了
以上で、今回実行するStepFunctionsに必要なIAMロールの作成は完了です。