翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Identity and Access Management (IAM) \$1 Lambda 実行ロールの作成
Lambda 関数で使用する Lambda 実行ロールを作成します。パラメータで指定された各 ARN は、IAM ポリシーの一部を作成します。プレビューオプションを使用して、完了、生成されたポリシーが作成および実装される前にどのように表示されるかを確認します。
**完全分類:** デプロイ \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 Lambda 実行ロールの作成
## 変更タイプの詳細
****
| | |
| --- |--- |
| 変更タイプ ID | ct-1k3oui719dcju |
| 現在のバージョン | 2.0 |
| 予想される実行期間 | 360 分 |
| AWS の承認 | 必須 |
| お客様の承認 | 不要 |
| 実行モード | 自動 |
## 追加情報
### IAM Lambda 実行ロールを作成する
#### コンソールを使用した IAM Lambda 実行ロールの作成
![\[Create Lambda Execution Role interface with ID, execution mode, and version details.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/ctref/images/guiIamLambdaExeRoleCreateCT.png)
仕組み:
1. **RFC **の作成ページに移動します。AMS コンソールの左側のナビゲーションペインで**RFCs** をクリックして RFCsリストページを開き、**RFC の作成**をクリックします。
1. デフォルトの変更タイプ参照ビューで一般的な**変更タイプ** (CT) を選択するか、**カテゴリ別選択ビューで CT **を選択します。
+ **変更タイプ別に参照**: **クイック作成**エリアで一般的な CT をクリックすると、すぐに **RFC の実行**ページを開くことができます。クイック作成で古い CT バージョンを選択することはできません。
CTs をソートするには、**カード**ビューまたは**テーブル**ビューで**すべての変更タイプ**エリアを使用します。どちらのビューでも、CT を選択し、**RFC の作成**をクリックして **RFC の実行**ページを開きます。必要に応じて、RFC **の作成ボタンの横に古いバージョンで**作成オプションが表示されます。 ****
+ **カテゴリ別に選択**: カテゴリ、サブカテゴリ、項目、オペレーションを選択すると、CT 詳細ボックスが開き、必要に応じて**古いバージョンで作成する**オプションが表示されます。**RFC の作成**をクリックして、**RFC の実行**ページを開きます。
1. **RFC の実行**ページで、CT 名エリアを開き、CT の詳細ボックスを表示します。**件名**は必須です (**変更タイプの参照**ビューで CT を選択した場合は入力されます)。**追加設定**エリアを開き、RFC に関する情報を追加します。
**実行設定**領域で、使用可能なドロップダウンリストを使用するか、必要なパラメータの値を入力します。オプションの実行パラメータを設定するには、**追加設定**エリアを開きます。
1. 完了したら、**実行** をクリックします。エラーがない場合、**RFC が正常に作成された**ページに、送信された RFC の詳細と最初の**実行出力**が表示されます。
1. **Run parameters** エリアを開き、送信した設定を確認します。ページを更新して RFC 実行ステータスを更新します。必要に応じて、RFC をキャンセルするか、ページ上部のオプションを使用して RFC のコピーを作成します。
#### CLI を使用した IAM Lambda 実行ロールの作成
仕組み:
1. インライン作成 (すべての RFC と実行パラメータを含む`create-rfc`コマンドを発行) またはテンプレート作成 (2 つの JSON ファイルを作成し、1 つは RFC パラメータ用、もう 1 つは実行パラメータ用) のいずれかを使用し、2 つのファイルを入力として`create-rfc`コマンドを発行します。どちらの方法もここで説明します。
1. 返された RFC ID を使用して RFC: `aws amscm submit-rfc --rfc-id ID` コマンドを送信します。
RFC: `aws amscm get-rfc --rfc-id ID` コマンドをモニタリングします。
変更タイプのバージョンを確認するには、次のコマンドを使用します。
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注記**
変更タイプのスキーマの一部であるかどうかにかかわらず、任意の RFC で任意の`CreateRfc`パラメータを使用できます。たとえば、RFC ステータスが変更されたときに通知を受け取るには、リクエストの RFC パラメータ部分 (実行パラメータではなく) `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`にこの行を追加します。すべての CreateRfc パラメータのリストについては、[AMS 変更管理 API リファレンス](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)を参照してください。
*INLINE CREATE (必須パラメータのみ)*:
インラインで指定された実行パラメータ (インラインで実行パラメータを指定する場合は引用符をエスケープ) を指定して create RFC コマンドを発行し、返された RFC ID を送信します。たとえば、コンテンツを次のような内容に置き換えることができます。
```
aws amscm create-rfc --change-type-id "ct-1k3oui719dcju" --change-type-version "2.0" --title "Create IAM Lambda Execution Role" --execution-parameters "{\"DocumentName\":\"AWSManagedServices-HandleCreateIAMRole-Admin\",\"Region\":\"us-east-1\",\"Parameters\":{\"ServicePrincipal\":[\"lambda.amazonaws.com\"],\"RoleName\":[\"test-application-ec2-instance-profile\"],\"LambdaFunctionArns": [\"arn:aws:lambda:us-east-1:123456789012:function:testing\"}}"
```
*テンプレート作成 (すべてのパラメータ)*:
1. この変更タイプの実行パラメータ JSON スキーマをファイルに出力します。例では、CreateIamLambdaExeRoleParams.json:
```
aws amscm get-change-type-version --change-type-id "ct-1k3oui719dcju" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamLambdaExeRoleParams.json
```
1. CreateIamLambdaExeRoleParams ファイルを変更して保存します。この例では、ポリシードキュメントをインラインで貼り付けた IAM ロールを作成します。
```
{
"DocumentName": "AWSManagedServices-HandleCreateIAMRole-Admin",
"Region": "us-east-1",
"Parameters": {
"ServicePrincipal" : "lambda.amazonaws.com",
"RoleName" : "customer_lambda_execution_role",
"VPCAccess" : "No",
"Preview" : "No",
"LambdaFunctionArns": ["arn:aws:lambda:us-east-1:123456789012:function:dabba"]
}
}
```
1. RFC テンプレート JSON ファイルを CreateIamLambdaExeRoleRfc.json:
```
aws amscm create-rfc --generate-cli-skeleton > CreateIamLambdaExeRoleRfc.json
```
1. CreateIamLambdaExeRoleRfc.json ファイルを変更して保存します。たとえば、コンテンツを次のような内容に置き換えることができます。
```
{
"ChangeTypeVersion": "2.0",
"ChangeTypeId": "ct-1k3oui719dcju",
"Title": "Create IAM Lambda Execution Role"
}
```
1. CreateIamLambdaExeRoleRfc ファイルと CreateIamLambdaExeRoleParams ファイルを指定して RFC を作成します。
```
aws amscm create-rfc --cli-input-json file://CreateIamLambdaExeRoleRfc.json --execution-parameters file://CreateIamLambdaExeRoleParams.json
```
レスポンスで新しい RFC の ID を受け取り、それを使用して RFC を送信およびモニタリングできます。送信するまで、RFC は編集状態のままであり、開始されません。
#### ヒント
**注記**
この変更タイプはバージョン 2.0 になりました。これにより、RFC コンソールの作成エクスペリエンスが向上し、JSON のコピーと貼り付けが容易になります。
詳細については AWS Identity and Access Management、[AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)」を参照してください。
## 実行入力パラメータ
実行入力パラメータの詳細については、「」を参照してください[変更タイプ ct-1k3oui719dcju のスキーマ](schemas.md#ct-1k3oui719dcju-schema-section)。
## 例: 必須パラメータ
```
{
"DocumentName" : "AWSManagedServices-HandleCreateIAMRole-Admin",
"Region" : "us-east-1",
"Parameters" : {
"ServicePrincipal" : "lambda.amazonaws.com",
"RoleName" : "customer_lambda_execution_role",
"VPCAccess" : "No",
"Preview" : "No",
"LambdaFunctionArns": ["arn:aws:lambda:us-east-1:083904590739:function:dabba"]
}
}
```
## 例: すべてのパラメータ
```
{
"DocumentName" : "AWSManagedServices-HandleCreateIAMRole-Admin",
"Region" : "us-east-1",
"Parameters": {
"ServicePrincipal": "lambda.amazonaws.com",
"RoleName" : "customer_lambda_execution_role",
"RolePath": "/test/",
"Preview": "No",
"LambdaFunctionArns": ["arn:aws:lambda:us-east-1:083904590739:function:dabba"],
"VPCAccess": "Yes",
"CloudWatchAlarmReadAccess": ["arn:aws:cloudwatch:us-east-1:123456789012:alarm:myalarm*"],
"CloudWatchAlarmWriteAccess": ["arn:aws:cloudwatch:us-east-1:123456789012:alarm:myalarm*"],
"CloudWatchLogsReadAccess": ["arn:aws:logs:us-east-1:123456789012:log-group:myparam*:log-stream:mylogstream"],
"CloudWatchLogsWriteAccess": ["arn:aws:logs:us-east-1:123456789012:log-group:mylogs*"],
"CloudWatchMetricsReadAccess": ["*"],
"CloudWatchMetricsWriteAccess": ["Company/AppMetric"],
"DynamoDBDataReadWriteAccess": ["arn:aws:dynamodb:us-east-1:123456789012:table/mytable*"],
"DynamoDBResourceReadAccess": ["arn:aws:dynamodb:us-east-1:123456789012:table/anotherTable"],
"KMSCryptographicOperationAccess": ["arn:aws:kms:us-east-1:123456789012:key/97f43232-6bdc-4830-b54c-2d2926ba69aa"],
"KMSReadAccess": ["arn:aws:kms:us-east-1:123456789012:key/97f43232-6bdc-4830-b54c-2d2926ba69aa"],
"S3ReadAccess": ["arn:aws:s3:::my-s3-us-east-1/*"],
"S3WriteAccess": ["arn:aws:s3:::my-s3-ap-southeast-2/developers/design_info.doc"],
"SNSReadAccess": ["arn:aws:sns:us-east-1:123456789012:mytopic*"],
"SNSWriteAccess": ["arn:aws:sns:us-east-1:123456789012:MyTopic*"],
"SQSReadAccess": ["arn:aws:sqs:us-east-1:123456789012:Myqueue*"],
"SQSWriteAccess": ["arn:aws:sqs:us-east-1:123456789012:MyQueeu*"],
"SSMReadAccess": ["arn:aws:ssm:us-east-1:123456789012:parameter/myparam*"],
"SSMWriteAccess": ["arn:aws:ssm:us-east-1:123456789012:parameter/myparam*"],
"LambdaReadAccess" : ["arn:aws:lambda:us-east-1:083904590739:function:dabba"],
"LambdaInvokeAccess" : ["arn:aws:lambda:us-east-1:083904590739:function:dabba"],
"EventsReadAccess" : ["arn:aws:events:us-east-1:083904590739:rule/rule01"],
"EventsWriteAccess" : ["arn:aws:events:us-east-1:083904590739:event-bus/bus01"],
"STSAssumeRole": ["arn:aws:iam::123456789012:role/roleName"],
"SecretsManagerReadAccess": ["arn:aws:secretsmanager:us-east-1:123456789012:secret:mysecret*"],
"AdditionalPolicy" : "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Action\":[\"iam:ListRoles\",\"iam:ListAccountAliases\"],\"Resource\":\"*\"}]}"
}
}
```