Identity and Access Management (IAM) | Lambda 実行ロールの作成 - AMS アドバンスト変更タイプリファレンス
変更タイプの詳細追加情報実行入力パラメータ例: 必須パラメータ例: すべてのパラメータ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Identity and Access Management (IAM) | Lambda 実行ロールの作成

Lambda 関数で使用する Lambda 実行ロールを作成します。パラメータで指定された各 ARN は、IAM ポリシーの一部を作成します。プレビューオプションを使用して、完了、生成されたポリシーが作成および実装される前にどのように表示されるかを確認します。

完全分類: デプロイ | 高度なスタックコンポーネント | Identity and Access Management (IAM) | Lambda 実行ロールの作成

変更タイプの詳細

変更タイプ ID

ct-1k3oui719dcju

現在のバージョン

2.0

予想される実行期間

360 分

AWS の承認

必須

お客様の承認

不要

実行モード

自動

追加情報

IAM Lambda 実行ロールを作成する

Create Lambda Execution Role interface with ID, execution mode, and version details.

仕組み:

  1. RFC の作成ページに移動します。AMS コンソールの左側のナビゲーションペインでRFCs をクリックして RFCsリストページを開き、RFC の作成をクリックします。

  2. デフォルトの変更タイプ参照ビューで一般的な変更タイプ (CT) を選択するか、カテゴリ別選択ビューで CT を選択します。

    • 変更タイプ別に参照: クイック作成エリアで一般的な CT をクリックすると、すぐに RFC の実行ページを開くことができます。クイック作成で古い CT バージョンを選択することはできません。

      CTs をソートするには、カードビューまたはテーブルビューですべての変更タイプ領域を使用します。どちらのビューでも、CT を選択し、RFC の作成をクリックして RFC の実行ページを開きます。必要に応じて、RFC の作成ボタンの横に古いバージョンで作成オプションが表示されます。

    • カテゴリ別に選択: カテゴリ、サブカテゴリ、項目、オペレーションを選択すると、CT 詳細ボックスが開き、必要に応じて古いバージョンで作成するオプションが表示されます。RFC の作成をクリックして、RFC の実行ページを開きます。

  3. RFC の実行ページで、CT 名エリアを開き、CT の詳細ボックスを表示します。件名は必須です (変更タイプの参照ビューで CT を選択した場合は入力されます)。追加設定エリアを開き、RFC に関する情報を追加します。

    実行設定領域で、使用可能なドロップダウンリストを使用するか、必要なパラメータの値を入力します。オプションの実行パラメータを設定するには、追加設定エリアを開きます。

  4. 完了したら、実行 をクリックします。エラーがない場合、RFC が正常に作成されたページに、送信された RFC の詳細と最初の実行出力が表示されます。

  5. Run parameters 領域を開き、送信した設定を確認します。ページを更新して RFC 実行ステータスを更新します。必要に応じて、RFC をキャンセルするか、ページ上部のオプションを使用してコピーを作成します。

仕組み:

  1. インライン作成 (すべての RFC と実行パラメータを含むcreate-rfcコマンドを発行) またはテンプレート作成 (2 つの JSON ファイルを作成し、1 つは RFC パラメータ用、もう 1 つは実行パラメータ用) のいずれかを使用し、2 つのファイルを入力としてcreate-rfcコマンドを発行します。どちらの方法もここで説明します。

  2. 返された RFC ID を使用して RFC: aws amscm submit-rfc --rfc-id ID コマンドを送信します。

    RFC: aws amscm get-rfc --rfc-id ID コマンドをモニタリングします。

変更タイプのバージョンを確認するには、次のコマンドを使用します。

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
注記

変更タイプのスキーマの一部であるかどうかにかかわらず、任意の RFC で任意のCreateRfcパラメータを使用できます。たとえば、RFC ステータスが変更されたときに通知を受け取るには、リクエストの RFC パラメータ部分 (実行パラメータではなく) --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"にこの行を追加します。すべての CreateRfc パラメータのリストについては、AMS 変更管理 API リファレンスを参照してください。

INLINE CREATE (必須パラメータのみ)

インラインで指定された実行パラメータ (インラインで実行パラメータを指定する場合は引用符をエスケープ) を指定して create RFC コマンドを発行し、返された RFC ID を送信します。たとえば、コンテンツを次のような内容に置き換えることができます。

aws amscm create-rfc --change-type-id "ct-1k3oui719dcju" --change-type-version "2.0" --title "Create IAM Lambda Execution Role" --execution-parameters "{\"DocumentName\":\"AWSManagedServices-HandleCreateIAMRole-Admin\",\"Region\":\"us-east-1\",\"Parameters\":{\"ServicePrincipal\":[\"lambda.amazonaws.com\"],\"RoleName\":[\"test-application-ec2-instance-profile\"],\"LambdaFunctionArns": [\"arn:aws:lambda:us-east-1:123456789012:function:testing\"}}"

テンプレート作成 (すべてのパラメータ)

  1. この変更タイプの実行パラメータ JSON スキーマをファイルに出力します。例では、CreateIamLambdaExeRoleParams.json:

    aws amscm get-change-type-version --change-type-id "ct-1k3oui719dcju" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamLambdaExeRoleParams.json

  2. CreateIamLambdaExeRoleParams ファイルを変更して保存します。この例では、ポリシードキュメントをインラインで貼り付けた IAM ロールを作成します。

    {
  "DocumentName": "AWSManagedServices-HandleCreateIAMRole-Admin",
  "Region": "us-east-1",
  "Parameters": {
     "ServicePrincipal" : "lambda.amazonaws.com",
     "RoleName" : "customer_lambda_execution_role",
     "VPCAccess" : "No",
     "Preview" : "No",
     "LambdaFunctionArns": ["arn:aws:lambda:us-east-1:123456789012:function:dabba"]
  }
}

  3. RFC テンプレート JSON ファイルを CreateIamLambdaExeRoleRfc.json:

    aws amscm create-rfc --generate-cli-skeleton > CreateIamLambdaExeRoleRfc.json

  4. CreateIamLambdaExeRoleRfc.json ファイルを変更して保存します。たとえば、コンテンツを次のような内容に置き換えることができます。

    {
"ChangeTypeVersion": "2.0",
"ChangeTypeId": "ct-1k3oui719dcju",
"Title": "Create IAM Lambda Execution Role"
}

  5. CreateIamLambdaExeRoleRfc ファイルと CreateIamLambdaExeRoleParams ファイルを指定して RFC を作成します。

    aws amscm create-rfc --cli-input-json file://CreateIamLambdaExeRoleRfc.json  --execution-parameters file://CreateIamLambdaExeRoleParams.json

    レスポンスで新しい RFC の ID を受け取り、それを使用して RFC を送信およびモニタリングできます。送信するまで、RFC は編集状態のままであり、開始されません。

注記

この変更タイプはバージョン 2.0 になりました。RFC コンソールの作成エクスペリエンスが向上し、変更により JSON のコピーと貼り付けが容易になりました。

詳細については AWS Identity and Access Management、AWS Identity and Access Management (IAM)」を参照してください。

実行入力パラメータ

実行入力パラメータの詳細については、「」を参照してください変更タイプ ct-1k3oui719dcju のスキーマ

例: 必須パラメータ

{
  "DocumentName" : "AWSManagedServices-HandleCreateIAMRole-Admin",
  "Region" : "us-east-1",
  "Parameters" : {
    "ServicePrincipal" : "lambda.amazonaws.com",
    "RoleName" : "customer_lambda_execution_role",
    "VPCAccess" : "No",
    "Preview" : "No",
    "LambdaFunctionArns": ["arn:aws:lambda:us-east-1:083904590739:function:dabba"]
  }
}

例: すべてのパラメータ

{
  "DocumentName" : "AWSManagedServices-HandleCreateIAMRole-Admin",
  "Region" : "us-east-1",
  "Parameters": {
    "ServicePrincipal": "lambda.amazonaws.com",
    "RoleName" : "customer_lambda_execution_role",
    "RolePath": "/test/",
    "Preview": "No",
    "LambdaFunctionArns": ["arn:aws:lambda:us-east-1:083904590739:function:dabba"],
    "VPCAccess": "Yes",
    "CloudWatchAlarmReadAccess": ["arn:aws:cloudwatch:us-east-1:123456789012:alarm:myalarm*"],
    "CloudWatchAlarmWriteAccess": ["arn:aws:cloudwatch:us-east-1:123456789012:alarm:myalarm*"],
    "CloudWatchLogsReadAccess": ["arn:aws:logs:us-east-1:123456789012:log-group:myparam*:log-stream:mylogstream"],
    "CloudWatchLogsWriteAccess": ["arn:aws:logs:us-east-1:123456789012:log-group:mylogs*"],
    "CloudWatchMetricsReadAccess": ["*"],
    "CloudWatchMetricsWriteAccess": ["Company/AppMetric"],
    "DynamoDBDataReadWriteAccess": ["arn:aws:dynamodb:us-east-1:123456789012:table/mytable*"],
    "DynamoDBResourceReadAccess": ["arn:aws:dynamodb:us-east-1:123456789012:table/anotherTable"],
    "KMSCryptographicOperationAccess": ["arn:aws:kms:us-east-1:123456789012:key/97f43232-6bdc-4830-b54c-2d2926ba69aa"],
    "KMSReadAccess": ["arn:aws:kms:us-east-1:123456789012:key/97f43232-6bdc-4830-b54c-2d2926ba69aa"],
    "S3ReadAccess": ["arn:aws:s3:::my-s3-us-east-1/*"],
    "S3WriteAccess": ["arn:aws:s3:::my-s3-ap-southeast-2/developers/design_info.doc"],
    "SNSReadAccess": ["arn:aws:sns:us-east-1:123456789012:mytopic*"],
    "SNSWriteAccess": ["arn:aws:sns:us-east-1:123456789012:MyTopic*"],
    "SQSReadAccess": ["arn:aws:sqs:us-east-1:123456789012:Myqueue*"],
    "SQSWriteAccess": ["arn:aws:sqs:us-east-1:123456789012:MyQueeu*"],
    "SSMReadAccess": ["arn:aws:ssm:us-east-1:123456789012:parameter/myparam*"],
    "SSMWriteAccess": ["arn:aws:ssm:us-east-1:123456789012:parameter/myparam*"],
    "LambdaReadAccess" : ["arn:aws:lambda:us-east-1:083904590739:function:dabba"],
    "LambdaInvokeAccess" : ["arn:aws:lambda:us-east-1:083904590739:function:dabba"],
    "EventsReadAccess" : ["arn:aws:events:us-east-1:083904590739:rule/rule01"],
    "EventsWriteAccess" : ["arn:aws:events:us-east-1:083904590739:event-bus/bus01"],
    "STSAssumeRole": ["arn:aws:iam::123456789012:role/roleName"],
    "SecretsManagerReadAccess": ["arn:aws:secretsmanager:us-east-1:123456789012:secret:mysecret*"],
    "AdditionalPolicy" : "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Action\":[\"iam:ListRoles\",\"iam:ListAccountAliases\"],\"Resource\":\"*\"}]}"
  }
}