前提条件
IAMへの権限
IAMに対してフル権限があること。
AWS CLIのバージョン
-
以下のバージョンで動作確認済
- AWS CLI 1.9.8
コマンド
aws --version
結果(例)
aws-cli/1.9.8 Python/2.7.5 Darwin/13.4.0 botocore/1.3.0
ロールポリシー (カスタムポリシー)
APIGatewayLambdaExecPolicyポリシーが存在すること。
変数の設定
IAM_POLICY_NAME='APIGatewayLambdaExecPolicy'
コマンド
aws iam list-policies \
--scope Local \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`]"
結果(例)
[
{
"PolicyName": "APIGatewayLambdaExecPolicy",
"CreateDate": "2015-11-21T05:16:28Z",
"AttachmentCount": 1,
"IsAttachable": true,
"PolicyId": "ANPAxxxxxxxxxxxxxxxxx",
"DefaultVersionId": "v1",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:policy/APIGatewayLambdaExecPolicy",
"UpdateDate": "2015-11-21T05:16:28Z"
}
]
存在しない場合は、以下の手順で作成します。
0. 準備
変数の確認
プロファイルが想定のものになっていることを確認します。
変数の確認
aws configure list
結果(例)
Name Value Type Location
---- ----- ---- --------
profile iamFull-prjZ-mbp13iamFull-prjZ-mbp13 env AWS_DEFAULT_PROFILE
access_key ****************XXXX shared-credentials-file
secret_key ****************XXXX shared-credentials-file
region eu-west-1 env AWS_DEFAULT_REGION
1. 事前作業
1.1. IAMロール名の決定
変数の設定
IAM_ROLE_NAME='APIGatewayLambdaExecRole'
同じ名前のIAMロールが存在しないことを確認します。
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例)
A client error (NoSuchEntity) occurred when calling the GetRole operation: The role with name APIGatewayLambdaExecRole cannot be found.
2. ロールの作成
2.1. assumeロールの決定
変数の設定
FILE_ROLE_DOC="${IAM_ROLE_NAME}.json" \
&& echo ${FILE_ROLE_DOC}
コマンド
cat << EOF > ${FILE_ROLE_DOC}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
EOF
cat ${FILE_ROLE_DOC}
コマンド
jsonlint -q ${FILE_ROLE_DOC}
2.2. ロールの作成
変数の確認
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
FILE_ROLE_DOC: ${FILE_ROLE_DOC}
ETX
コマンド
aws iam create-role \
--role-name ${IAM_ROLE_NAME} \
--assume-role-policy-document file://${FILE_ROLE_DOC}
結果(例)
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAXXXXXXXXXXXXXXXXX",
"CreateDate": "2015-11-21T05:23:15.585Z",
"RoleName": "APIGatewayLambdaExecRole",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/APIGatewayLambdaExecRole"
}
}
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例)
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAJOMDKX4MPARLRM5CO",
"CreateDate": "2015-10-23T02:05:55Z",
"RoleName": "APIGatewayLambdaExecRole",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/APIGatewayLambdaExecRole"
}
}
3. ロールポリシー (カスタムポリシーの場合)
3.1. ポリシーの決定
存在するユーザ管理ポリシーを確認します。
コマンド
aws iam list-policies \
--scope Local \
--query 'Policies[].PolicyName' \
--max-items 1000
利用するIAMポリシーを決めます。
変数の設定
IAM_POLICY_NAME='APIGatewayLambdaExecPolicy'
ARNを取得します。
コマンド
IAM_POLICY_ARN=$( \
aws iam list-policies \
--scope Local \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
--output text \
) \
&& echo "${IAM_POLICY_ARN}"
結果(例)
arn:aws:iam::XXXXXXXXXXXX:policy/APIGatewayLambdaExecPolicy
ポリシーのバージョンを取得します。
コマンド
IAM_POLICY_VERSION=$( \
aws iam list-policies \
--scope Local \
--max-items 1000 \
--query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].DefaultVersionId" \
--output text \
) \
&& echo ${IAM_POLICY_VERSION}
結果(例)
v1
ポリシーの内容を見てみましょう。
コマンド
aws iam get-policy-version \
--policy-arn ${IAM_POLICY_ARN} \
--version-id ${IAM_POLICY_VERSION}
結果(例)
{
"PolicyVersion": {
"CreateDate": "2015-11-21T05:16:28Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Resource": "arn:aws:logs:*:*:*",
"Effect": "Allow"
}
]
},
"IsDefaultVersion": true
}
}
3.2. 現在のポリシーの確認
ポリシーを確認します。
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果
{
"AttachedPolicies": [],
"IsTruncated": false
}
3.3. ポリシーの適用
ポリシーをロールに適用します。
変数の確認
cat << ETX
IAM_ROLE_NAME: ${IAM_ROLE_NAME}
IAM_POLICY_ARN: ${IAM_POLICY_ARN}
ETX
コマンド
aws iam attach-role-policy \
--role-name ${IAM_ROLE_NAME} \
--policy-arn ${IAM_POLICY_ARN}
結果
(戻り値なし)
3.4. ポリシーの確認
ポリシーを確認します。
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果
{
"AttachedPolicies": [
{
"PolicyName": "APIGatewayLambdaExecPolicy",
"PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/APIGatewayLambdaExecPolicy"
}
],
"IsTruncated": false
}
4. 事後作業
最後に再度、ロールとロールに適用されているポリシーを確認しておきましょう。
4.1. ロールの確認
コマンド
aws iam get-role \
--role-name ${IAM_ROLE_NAME}
結果(例)
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Effect": "Allow",
"Sid": ""
}
]
},
"RoleId": "AROAICY7DJANABQMFHX6G",
"CreateDate": "2015-10-23T01:24:42Z",
"RoleName": "APIGatewayLambdaExecRole",
"Path": "/",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:role/APIGatewayLambdaExecRole"
}
}
4.2. ロールに適用されているポリシーの確認
コマンド
aws iam list-attached-role-policies \
--role-name ${IAM_ROLE_NAME}
結果
{
"AttachedPolicies": [
{
"PolicyName": "APIGatewayLambdaExecPolicy",
"PolicyArn": "arn:aws:iam::XXXXXXXXXXXX:policy/APIGatewayLambdaExecPolicy"
}
],
"IsTruncated": false
}