ハンズオン(簡易版): Lambda基礎 Boto3 (Python SDK)

事前作業2.5. IAMポリシードキュメントの作成 (EC2SecurityGroupIngressAuthorize-lambda-handson-cli-lambda-boto3-ec2-revoke-function-policy)

手順の目的 [why]

IAMポリシー"EC2SecurityGroupIngressAuthorize-lambda-handson-cli-lambda-boto3-ec2-revoke-function-policy"のポリシードキュメントを作成します。

設定値の指定

設定値の指定

手順に必要な設定値を変数に格納をします。

0. リージョンの指定

リージョンを指定します。

環境変数の設定:

export AWS_DEFAULT_REGION='ap-northeast-1'

1. ポリシードキュメント用ディレクトリ名

ポリシードキュメント用ディレクトリ名を指定します。

変数の設定:

DIR_IAM_POLICY_DOC="${HOME}/environment/conf-handson-cli-lambda"

ディレクトリが存在することを確認します。

コマンド:

ls -d ${DIR_IAM_POLICY_DOC}

結果(例:存在する場合):

${HOME}/environment/conf-handson-cli-lambda

存在しない場合は作成します。

コマンド:

mkdir -p ${DIR_IAM_POLICY_DOC}

結果(例):

(出力なし)

2. IAMポリシードキュメント名

IAMポリシードキュメント名を指定します。

変数の設定:

IAM_POLICY_DOC_NAME='EC2SecurityGroupIngressAuthorize-lambda-handson-cli-lambda-boto3-ec2-revoke-function-policy'

変数の設定:

FILE_IAM_POLICY_DOC="${DIR_IAM_POLICY_DOC}/${IAM_POLICY_DOC_NAME}.json" \
  && echo ${FILE_IAM_POLICY_DOC}

結果(例):

${HOME}/environment/conf-handson-cli-lambda/EC2SecurityGroupIngressAuthorize-lambda-handson-cli-lambda-boto3-ec2-revoke-function-policy.json

3. VPCのタグ名

VPCのタグ名を指定します。

変数の設定:

EC2_VPC_TAG_NAME='handson-cli-lambda-vpc'

4. セキュリティグループ名

セキュリティグループ名を指定します。

変数の設定:

EC2_SECURITY_GROUP_NAME='handson-cli-lambda-sg'

設定値の確認

各変数に正しい設定値が格納されていることを確認しながら保存します。

変数の確認:

cat << END

  # 0. AWS_DEFAULT_REGION:"ap-northeast-1"
       AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 1. DIR_IAM_POLICY_DOC:"${HOME}/environment/conf-handson-cli-lambda"
       DIR_IAM_POLICY_DOC="${DIR_IAM_POLICY_DOC}"
  # 2. IAM_POLICY_DOC_NAME:"EC2SecurityGroupIngressAuthorize-lambda-handson-cli-lambda-boto3-ec2-revoke-function-policy"
       IAM_POLICY_DOC_NAME="${IAM_POLICY_DOC_NAME}"
  # 3. EC2_VPC_TAG_NAME:"handson-cli-lambda-vpc"
       EC2_VPC_TAG_NAME="${EC2_VPC_TAG_NAME}"
  # 4. EC2_SECURITY_GROUP_NAME:"handson-cli-lambda-sg"
       EC2_SECURITY_GROUP_NAME="${EC2_SECURITY_GROUP_NAME}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

VPC IDを取得します。

コマンド:

EC2_VPC_ID=$( \
  aws ec2 describe-vpcs \
    --filters Name=tag:Name,Values=${EC2_VPC_TAG_NAME}  \
    --query 'Vpcs[].VpcId' \
    --output text \
) \
  && echo ${EC2_VPC_ID}

結果(例):

vpc-xxxxxxxxxxxxxxxxx

セキュリティグループIDを取得します。

コマンド:

EC2_SECURITY_GROUP_ID=$( \
  aws ec2 describe-security-groups \
    --filter Name=vpc-id,Values=${EC2_VPC_ID} \
      Name=group-name,Values=${EC2_SECURITY_GROUP_NAME} \
    --query "SecurityGroups[].GroupId" \
    --output text \
) \
  && echo ${EC2_SECURITY_GROUP_ID}

結果(例):

sg-xxxxxxxxxxxxxxxxx

IAMポリシードキュメントを作成します。

変数の確認:

cat << EOF

  # FILE_IAM_POLICY_DOC:"${HOME}/environment/conf-handson-cli-lambda/EC2SecurityGroupIngressAuthorize-lambda-handson-cli-lambda-boto3-ec2-revoke-function-policy.json"
    FILE_IAM_POLICY_DOC="${FILE_IAM_POLICY_DOC}"
  # AWS_DEFAULT_REGION:"ap-northeast-1"
    AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"
  # EC2_VPC_ID:"vpc-xxxxxxxxxxxxxxxxx"
    EC2_VPC_ID="${EC2_VPC_ID}"
  # EC2_SECURITY_GROUP_ID:"sg-xxxxxxxxxxxxxxxxx"
    EC2_SECURITY_GROUP_ID="${EC2_SECURITY_GROUP_ID}"

EOF

コマンド:

cat << EOF > ${FILE_IAM_POLICY_DOC}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "arn:aws:ec2:${AWS_DEFAULT_REGION}:*:security-group/${EC2_SECURITY_GROUP_ID}",
            "Condition": {
                "ArnEquals": {
                    "ec2:Vpc": "arn:aws:ec2:${AWS_DEFAULT_REGION}:*:vpc/${EC2_VPC_ID}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeSecurityGroups",
            "Resource": "*"
        }
    ]
}
EOF

cat ${FILE_IAM_POLICY_DOC}

結果(例):

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "arn:aws:ec2:ap-northeast-1::security-group/|EC2_SECURITY_GROUP_ID|",
            "Condition": {
                "ArnEquals": {
                    "ec2:Vpc": "arn:aws:ec2:|AWS_DEFAULT_REGION|::vpc/vpc-xxxxxxxxxxxxxxxxx"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeSecurityGroups",
            "Resource": "*"
        }
    ]
}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド:

cat ${FILE_IAM_POLICY_DOC} \
  |  python3 -m json.tool \
  > /dev/null

結果(例):

(出力なし)

注釈

エラーが出力されなければOKです。

完了確認

「IAMポリシードキュメント"${HOME}/environment/conf-handson-cli-lambda/EC2SecurityGroupIngressAuthorize-lambda-handson-cli-lambda-boto3-ec2-revoke-function-policy.json"が存在する。」ことを確認します。

コマンド:

ls ${FILE_IAM_POLICY_DOC}

結果(例):

${HOME}/environment/conf-handson-cli-lambda/EC2SecurityGroupIngressAuthorize-lambda-handson-cli-lambda-boto3-ec2-revoke-function-policy.json

手順の完了