AWS Lambda リソースにアクセスするための IAM ポリシーの作成 - Amazon Aurora

AWS Lambda リソースにアクセスするための IAM ポリシーの作成

ユーザーの代わりに Aurora から AWS Lambda 関数を呼び出すために必要な最低のアクセス許可を付与する、IAM ポリシーを作成できます。

次のポリシーは、Aurora がユーザーに代わって AWS Lambda 関数を呼び出すために必要なアクセス許可を追加します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleFunction",
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:<region>:<123456789012>:function:<example_function>"
        }
    ]
}

以下のステップを使用して、ユーザーの代わりに Aurora から AWS Lambda 関数を呼び出すために必要な、最低限のアクセス許可を付与する IAM ポリシーを作成できます。Aurora からすべての AWS Lambda 関数を呼び出すことを許可するには、以下のステップをスキップして、独自のポリシーを作成する代わりに定義済みの AWSLambdaRole ポリシーを使用できます。

AWS Lambda 関数への呼び出しを許可する IAM ポリシーを作成するには

  1. IAM コンソールを開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. [ポリシーの作成] を選択します。

  4. [ビジュアルエディタ] タブで、[サービスの選択] を選択し、[Lambda] を選択します。

  5. [アクション] の [すべて展開] を選択し、IAM ポリシーに必要な AWS Lambda アクセス許可を選択します。

    InvokeFunction が選択されていることを確認します。これは、Amazon Aurora から AWS Lambda 関数を呼び出すために必要な最低限のアクセス許可です。

  6. [リソース] を選択し、[関数] に対して [ARN の追加] を選択します。

  7. [Add ARN(s)] ダイアログボックスで、リソースの詳細を指定します。

    アクセスを許可する Lambda 関数を指定します。例えば、Aurora から example_function という名前の Lambda 関数にアクセスすることを許可するには、ARN 値として arn:aws:lambda:::function:example_function を設定します。

    AWS Lambda のアクセスポリシーを定義する方法の詳細については、「AWS Lambda に対する認証とアクセス制御」を参照してください。

  8. オプションで、[さらにアクセス許可を追加する] を選択して、ポリシーに別の AWS Lambda 関数を追加し、その関数に対して前のステップを繰り返します。

    注記

    このステップを繰り返して、対応する関数のアクセス許可ステートメントを、Aurora からアクセスする各 AWS Lambda 関数のポリシーに追加できます。

  9. [ポリシーの確認] を選択します。

  10. [名前] に、IAM ポリシーの名前 (AllowAuroraToExampleFunction など) を設定します。IAM ロールを作成して Aurora DB クラスターに関連付ける際に、この名前を使用します。オプションで [Description] 値を追加することもできます。

  11. [Create policy] を選択します。

  12. Amazon Aurora が AWS のサービスにアクセスすることを許可する IAM ロールの作成」の各ステップを実行します。