Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] IAM:#29 IAMロールの作成 (APIGateway Lambda実行)

More than 5 years have passed since last update.

前提条件

IAMへの権限

IAMに対してフル権限があること。

AWS CLIのバージョン

  • 以下のバージョンで動作確認済

    • AWS CLI 1.9.8
コマンド
aws --version
結果(例)
      aws-cli/1.9.8 Python/2.7.5 Darwin/13.4.0 botocore/1.3.0

ロールポリシー (カスタムポリシー)

APIGatewayLambdaExecPolicyポリシーが存在すること。

変数の設定
IAM_POLICY_NAME='APIGatewayLambdaExecPolicy'
コマンド
aws iam list-policies \
  --scope Local \
  --max-items 1000 \
  --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`]"
結果(例)
[
    {
        "PolicyName": "APIGatewayLambdaExecPolicy", 
        "CreateDate": "2015-11-21T05:16:28Z", 
        "AttachmentCount": 1, 
        "IsAttachable": true, 
        "PolicyId": "ANPAxxxxxxxxxxxxxxxxx", 
        "DefaultVersionId": "v1", 
        "Path": "/", 
        "Arn": "arn:aws:iam::XXXXXXXXXXXX:policy/APIGatewayLambdaExecPolicy", 
        "UpdateDate": "2015-11-21T05:16:28Z"
    }
]

存在しない場合は、以下の手順で作成します。

0. 準備

変数の確認

プロファイルが想定のものになっていることを確認します。

変数の確認
aws configure list
結果(例)
            Name                    Value             Type    Location
            ----                    -----             ----    --------
         profile       iamFull-prjZ-mbp13iamFull-prjZ-mbp13              env    AWS_DEFAULT_PROFILE
      access_key     ****************XXXX shared-credentials-file
      secret_key     ****************XXXX shared-credentials-file
          region                eu-west-1              env    AWS_DEFAULT_REGION

1. 事前作業

1.1. IAMロール名の決定

変数の設定
IAM_ROLE_NAME='APIGatewayLambdaExecRole'

同じ名前のIAMロールが存在しないことを確認します。

コマンド
aws iam get-role \
         --role-name ${IAM_ROLE_NAME}
結果(例)
      A client error (NoSuchEntity) occurred when calling the GetRole operation: The role with name APIGatewayLambdaExecRole cannot be found.

2. ロールの作成

2.1. assumeロールの決定

変数の設定
FILE_ROLE_DOC="${IAM_ROLE_NAME}.json" \
        && echo ${FILE_ROLE_DOC}
コマンド
cat << EOF > ${FILE_ROLE_DOC}
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
EOF

cat ${FILE_ROLE_DOC}
コマンド
jsonlint -q ${FILE_ROLE_DOC}

2.2. ロールの作成

変数の確認
cat << ETX

        IAM_ROLE_NAME: ${IAM_ROLE_NAME}
        FILE_ROLE_DOC: ${FILE_ROLE_DOC}

ETX
コマンド
aws iam create-role \
        --role-name ${IAM_ROLE_NAME} \
        --assume-role-policy-document file://${FILE_ROLE_DOC}
結果(例)
{
    "Role": {
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17", 
            "Statement": [
                {
                    "Action": "sts:AssumeRole", 
                    "Principal": {
                        "Service": "lambda.amazonaws.com"
                    }, 
                    "Effect": "Allow", 
                    "Sid": ""
                }
            ]
        }, 
        "RoleId": "AROAXXXXXXXXXXXXXXXXX", 
        "CreateDate": "2015-11-21T05:23:15.585Z", 
        "RoleName": "APIGatewayLambdaExecRole", 
        "Path": "/", 
        "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/APIGatewayLambdaExecRole"
    }
}
コマンド
aws iam get-role \
         --role-name ${IAM_ROLE_NAME}
結果(例)
      {
        "Role": {
          "AssumeRolePolicyDocument": {
              "Version": "2012-10-17",
              "Statement": [
                  {
                      "Action": "sts:AssumeRole",
                      "Principal": {
                          "Service": "lambda.amazonaws.com"
                      },
                      "Effect": "Allow",
                      "Sid": ""
                  }
              ]
          },
          "RoleId": "AROAJOMDKX4MPARLRM5CO",
          "CreateDate": "2015-10-23T02:05:55Z",
          "RoleName": "APIGatewayLambdaExecRole",
          "Path": "/",
          "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/APIGatewayLambdaExecRole"
        }
      }

3. ロールポリシー (カスタムポリシーの場合)

3.1. ポリシーの決定

存在するユーザ管理ポリシーを確認します。

コマンド
aws iam list-policies \
        --scope Local \
        --query 'Policies[].PolicyName' \
        --max-items 1000

利用するIAMポリシーを決めます。

変数の設定
IAM_POLICY_NAME='APIGatewayLambdaExecPolicy'

ARNを取得します。

コマンド
IAM_POLICY_ARN=$( \
        aws iam list-policies \
          --scope Local \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
          --output text \
      ) \
        && echo "${IAM_POLICY_ARN}"
結果(例)
      arn:aws:iam::XXXXXXXXXXXX:policy/APIGatewayLambdaExecPolicy

ポリシーのバージョンを取得します。

コマンド
IAM_POLICY_VERSION=$( \
        aws iam list-policies \
          --scope Local \
          --max-items 1000 \
          --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
          --output text \
      ) \
        && echo ${IAM_POLICY_VERSION}
結果(例)
      v1

ポリシーの内容を見てみましょう。

コマンド
aws iam get-policy-version \
        --policy-arn ${IAM_POLICY_ARN} \
        --version-id ${IAM_POLICY_VERSION}
結果(例)
{
    "PolicyVersion": {
        "CreateDate": "2015-11-21T05:16:28Z", 
        "VersionId": "v1", 
        "Document": {
            "Version": "2012-10-17", 
            "Statement": [
                {
                    "Action": [
                        "logs:*"
                    ], 
                    "Resource": "arn:aws:logs:*:*:*", 
                    "Effect": "Allow"
                }
            ]
        }, 
        "IsDefaultVersion": true
    }
}

3.2. 現在のポリシーの確認

ポリシーを確認します。

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}
結果
      {
          "AttachedPolicies": [], 
          "IsTruncated": false
      }

3.3. ポリシーの適用

ポリシーをロールに適用します。

変数の確認
cat << ETX

        IAM_ROLE_NAME:  ${IAM_ROLE_NAME}
        IAM_POLICY_ARN: ${IAM_POLICY_ARN}

ETX
コマンド
aws iam attach-role-policy \
        --role-name ${IAM_ROLE_NAME} \
        --policy-arn ${IAM_POLICY_ARN}
結果
(戻り値なし)

3.4. ポリシーの確認

ポリシーを確認します。

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}
結果
      {
        "AttachedPolicies": [
          {
              "PolicyName": "APIGatewayLambdaExecPolicy",
              "PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/APIGatewayLambdaExecPolicy"
          }
        ],
        "IsTruncated": false
      }

4. 事後作業

最後に再度、ロールとロールに適用されているポリシーを確認しておきましょう。

4.1. ロールの確認

コマンド
aws iam get-role \
         --role-name ${IAM_ROLE_NAME}
結果(例)
      {
        "Role": {
          "AssumeRolePolicyDocument": {
              "Version": "2012-10-17",
              "Statement": [
                  {
                      "Action": "sts:AssumeRole",
                      "Principal": {
                          "Service": "lambda.amazonaws.com"
                      },
                      "Effect": "Allow",
                      "Sid": ""
                  }
              ]
          },
          "RoleId": "AROAICY7DJANABQMFHX6G",
          "CreateDate": "2015-10-23T01:24:42Z",
          "RoleName": "APIGatewayLambdaExecRole",
          "Path": "/",
          "Arn": "arn:aws:iam::XXXXXXXXXXXX:role/APIGatewayLambdaExecRole"
        }
      }

4.2. ロールに適用されているポリシーの確認

コマンド
aws iam list-attached-role-policies \
        --role-name ${IAM_ROLE_NAME}
結果
      {
        "AttachedPolicies": [
          {
              "PolicyName": "APIGatewayLambdaExecPolicy",
              "PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/APIGatewayLambdaExecPolicy"
          }
        ],
        "IsTruncated": false
      }

完了

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away