メニュー
AWS Lambda
開発者ガイド

ステップ 2.2: 実行ロール (IAM ロール) を作成する

ここでは、Lambda 関数の作成時に指定する IAM ロール (実行ロール) を作成します。このロールは、Lambda 関数で必要な権限 (CloudWatch ログへの書き込みアクセス権限、S3 バケットからの CloudTrail ログの読み取りアクセス権限、Lambda が CloudTrail レコードで特定の API 呼び出しを検出した場合にイベントを SNS トピックに発行するためのアクセス権限、など) を付与するアクセス権限ポリシーを持ちます。

実行ロールの詳細については、「アクセス権限の管理: IAM ロール (実行ロール) を使用する」を参照してください。

IAM ロール (実行ロール) を作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. 管理ポリシーを作成し、それを IAM ロールにアタッチします。このステップでは、既存の AWS 管理ポリシー変更して別の名前で保存し、作成した IAM ロールにアクセス権限ポリシーをアタッチします。

    1. IAM コンソールのナビゲーションペインで、[Policies]、[Create Policy] の順に選択します。

    2. [Copy an AWS Managed Policy] の横の [Select] を選択します。

    3. [AWSLambdaExecute] の横の [Select] を選択します。

    4. 次のポリシーを [Policy Document] にコピーして既存のポリシーを置き換え、そのポリシーを、作成した Amazon SNS トピックの ARN で更新します。

      Copy
      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:*" ], "Resource": "arn:aws:logs:*:*:*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::examplebucket/*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "your sns topic ARN" } ] }
  3. 次のステップで使用するため、アクセス権限ポリシー名を書き留めておきます。

  4. IAM ユーザーガイドAWS サービスにアクセス許可を委任するロールの作成に示されている手順に従って、IAM ロールを作成し、作成したアクセス権限ポリシーをそのロールに添付します。ロールを作成するステップに従うときに、次のことに注意してください。

    • [Role Name] では、AWS アカウント内で一意の名前 (たとえば、lambda-cloudtrail-execution-role) を使用します。

    • [Select Role Type] で、[AWS Service Roles] を選択し、[AWS Lambda] を選択します。

    • [Attach Policy] で、前のステップで作成したポリシーを選択します。

次のステップ

ステップ 2.3: Lambda 関数を作成し、手動でテストする

このページの内容: