Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] IAM #75 IAMロールのポリシー追加 (AWSLambdaRole / AWS)

More than 3 years have passed since last update.

まず最初に、 今回実行するLambda関数に必要な権限を付与するためのIAMロールを作成していきます。

Lambda関数を実行する上で、最低限必要な権限となります。

前提条件

IAMへの権限

IAMに対してフル権限があること。

AWS CLI

以下のバージョンで動作確認済

  • AWS CLI 1.10.60
コマンド
aws --version

結果(例):

  aws-cli/1.11.34 Python/2.7.10 Darwin/15.6.0 botocore/1.4.91

バージョンが古い場合は最新版に更新しましょう。

コマンド
sudo -H pip install -U awscli

0. 準備

0.1. 変数の確認

プロファイルが想定のものになっていることを確認します。

変数の確認
aws configure list

結果(例):

        Name                    Value             Type    Location
        ----                    -----             ----    --------
     profile       iamFull-prjz-mbp13        env    AWS_DEFAULT_PROFILE
  access_key     ****************XXXX shared-credentials-file
  secret_key     ****************XXXX shared-credentials-file
      region        ap-northeast-1        env    AWS_DEFAULT_REGION

今回は、IAMでの作業となるため、リージョンはどこになっていても影響あり
ません。

0.2. IAMロール名の指定

ポリシーをアタッチするIAMロールを指定します。

変数の設定
IAM_ROLE_NAME="StepFunctionsRole-${AWS_DEFAULT_REGION}" \
  && echo ${IAM_ROLE_NAME}

IAMロールの内容を確認しましょう。

コマンド
aws iam get-role \
         --role-name ${IAM_ROLE_NAME}

結果(例):

  {
      "Role": {
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": "sts:AssumeRole",
                    "Principal": {
                        "Service": "states.${AWS_DEFAULT_REGION}.amazonaws.com"
                    },
                    "Effect": "Allow",
                    "Sid": ""
                }
            ]
        },
        "RoleId": "AROAXXXXXXXXXXXXXXXXX",
        "CreateDate": "2017-03-18T01:23:45Z",
        "RoleName": "StepFunctionsRole-ap-northeast-1",
        "Path": "/",
        "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/StepFunctionsRole-ap-northeast-1"
      }
  }

1. 事前作業

次に、このIAMロールにIAMポリシーを適用して、このIAMロールを利用するこ
とで得られる権限を決定します。

1.1. IAMロールに適用するIAMポリシーの決定

今回のStepFunctionsを実行する上で必要となる権限については、すでにAWS管
理ポリシーで''AWSLambdaRole'という名前で提供されています。

まず、'Lambda'というキーワードでAWS管理ポリシーから検索してみましょう

変数の設定
SEARCH_KEYWORD='Lambda'
コマンド
aws iam list-policies \
        --scope AWS \
        --max-items 1000 \
        --query "Policies[?contains(PolicyName, \`${SEARCH_KEYWORD}\`)].PolicyName"

結果(例):

  [
    "AWSLambdaFullAccess",
    "AWSLambdaDynamoDBExecutionRole",
    "AWSLambdaExecute",
    "AWSLambdaKinesisExecutionRole",
    "AWSLambdaReadOnlyAccess",
    "AWSLambdaBasicExecutionRole",
    "AWSLambdaInvocation-DynamoDB",
    "AWSLambdaVPCAccessExecutionRole",
    "AWSLambdaRole",
    "AWSLambdaENIManagementAccess"
  ]

利用するIAMポリシーを決めます。

変数の設定
IAM_POLICY_NAME='AWSLambdaRole'

次に、ポリシーを特定するためのAWSリソース識別名(ARN)を取得します。

変数の設定
IAM_POLICY_ARN=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
          --output text \
) \
        && echo "${IAM_POLICY_ARN}"

結果(例):

  arn:aws:iam::aws:policy/service-role/AWSLambdaRole

ポリシーの内容を見るために、そのポリシーの最新バージョン名を取得します

コマンド
IAM_POLICY_VERSION=$( \
        aws iam list-policies \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
          --output text \
) \
        && echo ${IAM_POLICY_VERSION}

結果(例)

  v1

ポリシーの最新バージョンの内容を見てみましょう。

コマンド
aws iam get-policy-version \
        --policy-arn ${IAM_POLICY_ARN} \
        --version-id ${IAM_POLICY_VERSION}

結果(例):

  {
      "PolicyVersion": {
          "CreateDate": "2015-02-06T18:41:28Z", 
          "VersionId": "v1", 
          "Document": {
              "Version": "2012-10-17", 
              "Statement": [
                  {
                      "Action": [
                          "lambda:InvokeFunction"
                      ], 
                      "Resource": [
                          "*"
                      ], 
                      "Effect": "Allow"
                  }
              ]
          }, 
          "IsDefaultVersion": true
      }
  }

以下の権限を許可されていることがわかります。

  • lambda:InvokeFunction

これは、Lambda関数を実行するために必要な権限です。

1.2. IAMポリシーの確認

IAMロールに適用されているIAMポリシーを確認してみましょう。

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}

結果:

  {
      "AttachedPolicies": [], 
  }

作成直後のIAMロールには、適用されているIAMポリシーはありません。

2. IAMポリシーの適用

IAMロールにIAMポリシーを適用します。

変数の確認
cat << ETX

        IAM_ROLE_NAME:  ${IAM_ROLE_NAME}
        IAM_POLICY_ARN: ${IAM_POLICY_ARN}

ETX
コマンド
aws iam attach-role-policy \
        --role-name ${IAM_ROLE_NAME} \
        --policy-arn ${IAM_POLICY_ARN}

結果:

  (戻り値なし)

3. 事後作業

ポリシーの確認

IAMロールに適用されているIAMポリシーを再度確認してみましょう。

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}

結果(例):

  {
    "AttachedPolicies": [
      {
          "PolicyName": "AWSLambdaRole",
          "PolicyArn": "arn:aws:iam::aws:policy/service-role/AWSLambdaRole"
      }
    ]
  }

完了

以上で、今回実行するStepFunctionsに必要なIAMロールの作成は完了です。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away