ハンズオン(簡易版): S3基礎 通知

4.3. Lambda実行許可の追加 (S3: handson-cli-s3-function)

目的

Lambda関数"handson-cli-s3-function"の実行権限をS3バケット"handson-cli-s3-notification-XXXXXXXXXXXX"に付与します。

パラメータの指定

作業に必要なパラメータを変数に格納をします。

0. リージョンの指定

リージョンを指定します。

環境変数の設定

export AWS_DEFAULT_REGION='ap-northeast-1'

1. Lambda関数名

Lambda関数名を指定します。

変数の設定:

LAMBDA_FUNCTION_NAME='handson-cli-s3-function'

2. LambdaステートメントID

LambdaステートメントIDを指定します。

変数の設定:

LAMBDA_STATEMENT_ID='handson-cli-s3-function-from-s3-bucket'

3. Lambdaアクション名

Lambdaアクション名を指定します。

変数の設定:

LAMBDA_PERMISSION_ACTION='lambda:InvokeFunction'

4. プリンシパル名

プリンシパル名を指定します。

変数の設定:

LAMBDA_PERMISSION_PRINCIPAL='s3.amazonaws.com'

5. S3バケット名

S3バケット名を指定します。

変数の設定:

S3_BUCKET_PREFIX='handson-cli-s3-notification'

コマンド:

AWS_ID=$( \
  aws sts get-caller-identity \
    --query 'Account' \
    --output text \
) \
  && echo ${AWS_ID}

結果(例):

XXXXXXXXXXXX

変数の設定:

S3_BUCKET_NAME="${S3_BUCKET_PREFIX}-${AWS_ID}" \
  && echo ${S3_BUCKET_NAME}

結果(例):

handson-cli-s3-notification-XXXXXXXXXXXX

各変数に正しいパラメータ値が格納されていることを確認します。

変数の確認:

cat << END

  # 0. AWS_DEFAULT_REGION:"ap-northeast-1"
       AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 1. LAMBDA_FUNCTION_NAME:"handson-cli-s3-function"
       LAMBDA_FUNCTION_NAME="${LAMBDA_FUNCTION_NAME}"
  # 2. LAMBDA_STATEMENT_ID:"handson-cli-s3-function-from-s3-bucket"
       LAMBDA_STATEMENT_ID="${LAMBDA_STATEMENT_ID}"
  # 3. LAMBDA_PERMISSION_ACTION:"lambda:InvokeFunction"
       LAMBDA_PERMISSION_ACTION="${LAMBDA_PERMISSION_ACTION}"
  # 4. LAMBDA_PERMISSION_PRINCIPAL:"s3.amazonaws.com"
       LAMBDA_PERMISSION_PRINCIPAL="${LAMBDA_PERMISSION_PRINCIPAL}"
  # 5. S3_BUCKET_NAME:"handson-cli-s3-notification-XXXXXXXXXXXX"
       S3_BUCKET_NAME="${S3_BUCKET_NAME}"

END

手順

S3バケットのARNを取得します。

S3バケットのARNを取得します。

変数の設定:

S3_BUCKET_ARN="arn:aws:s3:::${S3_BUCKET_NAME}" \
  && echo ${S3_BUCKET_ARN}

ソースARNの変数格納

Lambda関数を実行するソースのARNをシェル変数に格納します。

変数の設定:

SOURCE_ARN="${S3_BUCKET_ARN}" \
  && echo ${SOURCE_ARN}

結果(例):

arn:aws:s3:::handson-cli-s3-notification-XXXXXXXXXXXX

Lambda関数の実行権限を追加します。

変数の確認:

cat << ETX

  # LAMBDA_FUNCTION_NAME:"handson-cli-s3-function"
    LAMBDA_FUNCTION_NAME="${LAMBDA_FUNCTION_NAME}"
  # LAMBDA_STATEMENT_ID:"handson-cli-s3-function-from-s3-bucket"
    LAMBDA_STATEMENT_ID="${LAMBDA_STATEMENT_ID}"
  # LAMBDA_PERMISSION_ACTION:"lambda:InvokeFunction"
    LAMBDA_PERMISSION_ACTION="${LAMBDA_PERMISSION_ACTION}"
  # LAMBDA_PERMISSION_PRINCIPAL:"s3.amazonaws.com"
    LAMBDA_PERMISSION_PRINCIPAL="${LAMBDA_PERMISSION_PRINCIPAL}"
  # SOURCE_ARN:"arn:aws:s3:::handson-cli-s3-notification-XXXXXXXXXXXX"
    SOURCE_ARN="${SOURCE_ARN}"

ETX

コマンド:

aws lambda add-permission \
  --function-name ${LAMBDA_FUNCTION_NAME} \
  --statement-id ${LAMBDA_STATEMENT_ID} \
  --action ${LAMBDA_PERMISSION_ACTION} \
  --principal ${LAMBDA_PERMISSION_PRINCIPAL} \
  --source-arn ${SOURCE_ARN}

結果(例):

{
  "Policy": "{\"Version\":\"2012-10-17\",\"Id\":\"default\",\"Statement\":[{\"Sid\":\"handson-cli-s3-function-from-s3-bucket\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"s3.amazonaws.com\"},\"Action\":\"lambda:InvokeFunction\",\"Resource\":\"arn:aws:lambda:ap-northeast-1:\ XXXXXXXXXXXX\ :function:handson-cli-s3-function\",\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:s3:ap-northeast-1:XXXXXXXXXXXX:handson-cli-s3-notification-XXXXXXXXXXXX\"}}}]}"
}

完了確認

「Lambda関数"handson-cli-s3-function"にステートメントID"handson-cli-s3-function-from-s3-bucket"のポリシが付与されている。」ことを確認します。

コマンド:

aws lambda get-policy \
  --function-name ${LAMBDA_FUNCTION_NAME} \
  --query 'Policy' \
  --output text \
  | jp.py "Statement[?Sid == \`${LAMBDA_STATEMENT_ID}\`].Sid" \
  | tr -d '[]\"\n ' \
  && echo -e ""

結果(例):

handson-cli-s3-function-from-s3-bucket

「Lambda関数"handson-cli-s3-function"の実行権限がS3バケット"handson-cli-s3-notification-XXXXXXXXXXXX"に付与されている。」ことを確認します。

コマンド:

aws lambda get-policy \
  --function-name ${LAMBDA_FUNCTION_NAME} \
  --query 'Policy' \
  --output text

結果(例):

{"Version":"2012-10-17","Id":"default","Statement":[{"Sid":"handson-cli-s3-function-from-s3-bucket","Effect":"Allow","Principal":{"Service":"s3.amazonaws.com"},"Action":"lambda:InvokeFunction","Resource":"arn:aws:lambda:ap-northeast-1:XXXXXXXXXXXX:function:handson-cli-s3-function","Condition":{"ArnLike":{"AWS:SourceArn":"arn:aws:s3:::handson-cli-s3-notification-XXXXXXXXXXXX"}}}]}