AWS Lambda 環境変数の使用 - AWS Lambda
環境変数の設定API を使用した環境変数の設定環境変数のシナリオ例環境変数の取得定義されたランタイム環境変数環境変数の保護サンプルコードとテンプレート

AWS Lambda 環境変数の使用

環境変数を使用すると、コードを更新せずに関数の動作を調整できます。環境変数は、関数のバージョン固有の設定に保存される文字列のペアです。Lambda ランタイムは、環境変数をコードで使用できるようにし、関数と呼び出しリクエストに関する情報を含む追加の環境変数を設定します。

注記

データベースのセキュリティを強化するには、環境変数の代わりに AWS Secrets Manager を使用してデータベースの認証情報を保存することをお勧めします。詳細については、Lambda 関数のデータベースアクセスの設定を参照してください。

環境変数は、関数呼び出しの前には評価されません。定義した値はリテラル文字列とみなされ、展開されません。関数コードで変数の評価を実行します。

環境変数の設定

環境変数は、関数の未公開バージョンで定義します。バージョンを公開するとき、他のバージョン固有の設定とともに、そのバージョンの環境変数がロックされます。

関数の環境変数を作成するには、キーと値を定義します。関数は、キーの名前を使用して、環境変数の値を取得します。

Lambda コンソールで環境変数を設定するには

  1. Lambda コンソールで [Functions (関数)] ページを開きます。

  2. 関数を選択します。

  3. [Configuration] (設定) を選択してから、[Environment variables] (環境変数) を選択します。

  4. [環境変数] で、[編集] を選択します。

  5. [環境変数の追加] を選択します

  6. キーと値を入力します。

    Requirements

    • キーは文字で始まり、少なくとも 2 文字です。

    • キーには、文字、数字、およびアンダースコア (_) のみを含める。

    • キーは Lambda によって予約されていない。

    • すべての環境変数の合計サイズは 4 KB を超えない。

  7. [Save] を選択します。

API を使用した環境変数の設定

AWS CLI または AWS SDK で環境変数を管理するには、以下の API オペレーションを使用します。

次の例では、my-function という名前の関数に 2 つの環境変数を設定します。 

aws lambda update-function-configuration --function-name my-function \
    --environment "Variables={BUCKET=my-bucket,KEY=file.txt}"

update-function-configuration コマンドを使用して環境変数を適用すると、Variables 構造体の内容全体が置き換えられます。新しい環境変数を追加するときに既存の環境変数を保持するには、リクエストに既存の値をすべて含めます。

現在の設定を取得するには、get-function-configuration コマンドを使用します。 

aws lambda get-function-configuration --function-name my-function

次のような出力が表示されます。

{
    "FunctionName": "my-function",
    "FunctionArn": "arn:aws:lambda:us-east-2:123456789012:function:my-function",
    "Runtime": "nodejs12.x",
    "Role": "arn:aws:iam::123456789012:role/lambda-role",
    "Environment": {
        "Variables": {
            "BUCKET": "my-bucket",
            "KEY": "file.txt"
        }
    },
    "RevisionId": "0894d3c1-2a3d-4d48-bf7f-abade99f3c15",
    ...
}

設定の読み取り時と更新時の間で値が変わらないようにするには、get-function-configuration の出力のリビジョン ID をパラメータとして update-function-configuration に渡します。

関数の暗号化キーを設定するには、KMSKeyARN オプションを設定します。 

aws lambda update-function-configuration --function-name my-function \
   --kms-key-arn arn:aws:kms:us-east-2:123456789012:key/055efbb4-xmpl-4336-ba9c-538c7d31f599

環境変数のシナリオ例

環境変数を使用して、テスト環境および本番環境における関数の動作をカスタマイズできます。例えば、同じコードでも設定が異なる 2 つの関数を作成できます。1 つの関数はテストデータベースに接続し、もう 1 つはプロダクションデータベースに接続します。この状況では、環境変数を使用して、データベースのホスト名とその他の接続の詳細を関数に伝えます。

次の例は、データベースホストとデータベース名を環境変数として定義する方法を示しています。

Lambda コンソールの環境変数

テスト環境で本番環境よりも多くのデバッグ情報を生成する場合は、環境変数を設定して、より詳細なログ記録またはトレースを使用するようにテスト環境を設定できます。

環境変数の取得

関数コード内の環境変数を取得するには、プログラミング言語の標準メソッドを使用します。

Node.js
let region = process.env.AWS_REGION
Python
import os
  region = os.environ['AWS_REGION']
注記

場合によっては、次の形式の使用が必要になる場合があります。

region = os.environ.get('AWS_REGION')
Ruby
region = ENV["AWS_REGION"]
Java
String region = System.getenv("AWS_REGION");
Go
var region = os.Getenv("AWS_REGION")
C#
string region = Environment.GetEnvironmentVariable("AWS_REGION");
PowerShell
$region = $env:AWS_REGION

Lambda は、環境変数を保管時に暗号化して安全に保存します。別の暗号化キーを使用したり、クライアント側で環境変数値を暗号化したり、AWS CloudFormation テンプレートで AWS Secrets Manager を使用して環境変数を設定したりするように Lambda を設定できます。

定義されたランタイム環境変数

Lambda ランタイムは、初期化中にいくつかの環境変数を設定します。ほとんどの環境変数は、関数またはランタイムに関する情報を提供します。これらの環境変数のキーは予約済みであるため、関数設定では設定できません。

予約済み環境変数

  • _HANDLER - 関数に設定されているハンドラの場所。

  • _X_AMZN_TRACE_IDX-Ray トレースヘッダー

  • AWS_REGION - Lambda 関数が実行される AWS リージョン。

  • AWS_EXECUTION_ENVAWS_Lambda_ のプレフィックスが付いたランタイム識別子 (例: AWS_Lambda_java8)。

  • AWS_LAMBDA_FUNCTION_NAME - 関数の名前。

  • AWS_LAMBDA_FUNCTION_MEMORY_SIZE - 関数で使用できるメモリの量 (MB 単位)。

  • AWS_LAMBDA_FUNCTION_VERSION - 実行される関数のバージョン。

    AWS_LAMBDA_INITIALIZATION_TYPEon-demand または provisioned-concurrency のいずれかがで指定される、関数の初期化処理のタイプ。詳細については、「プロビジョニングされた同時実行数の設定」を参照してください。

  • AWS_LAMBDA_LOG_GROUP_NAMEAWS_LAMBDA_LOG_STREAM_NAME - Amazon CloudWatch Logs グループの名前と関数のストリーム。

  • AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEYAWS_SESSION_TOKEN - 関数の実行ロールから取得したアクセスキー。

  • AWS_LAMBDA_RUNTIME_API - (カスタムランタイム) ランタイム API のホストおよびポート。

  • LAMBDA_TASK_ROOT - Lambda 関数コードへのパス。

  • LAMBDA_RUNTIME_DIR - ランタイムライブラリへのパス。

  • TZ - 環境のタイムゾーン (UTC)。実行環境は、システムクロックを同期するために NTP を使用します。

以下の追加の環境変数は予約されていないため、関数設定で拡張できます。

予約されていない環境変数

  • LANG - ランタイムのロケール (en_US.UTF-8)。

  • PATH - 実行パス (/usr/local/bin:/usr/bin/:/bin:/opt/bin)。

  • LD_LIBRARY_PATH - システムライブラリのパス (/lib64:/usr/lib64:$LAMBDA_RUNTIME_DIR:$LAMBDA_RUNTIME_DIR/lib:$LAMBDA_TASK_ROOT:$LAMBDA_TASK_ROOT/lib:/opt/lib)。

  • NODE_PATH - (Node.js) Node.js ライブラリのパス (/opt/nodejs/node12/node_modules/:/opt/nodejs/node_modules:$LAMBDA_RUNTIME_DIR/node_modules)。

  • PYTHONPATH - (Python 2.7、3.6、3.8) Python ライブラリのパス ($LAMBDA_RUNTIME_DIR)。

  • GEM_PATH - (Ruby) Ruby ライブラリのパス ($LAMBDA_TASK_ROOT/vendor/bundle/ruby/2.5.0:/opt/ruby/gems/2.5.0)。

  • AWS_XRAY_CONTEXT_MISSING - X-Rayトレースの場合、Lambda は X-Ray SDK からランタイムエラーがスローされないように、これを LOG_ERROR に設定します。

  • AWS_XRAY_DAEMON_ADDRESS - X-Ray トレーシングの場合、X-Ray デーモンの IP アドレスとポート。

  • AWS_LAMBDA_DOTNET_PREJIT - .NET 3.1 ランタイムの場合、この変数を設定して、.NET 3.1 固有のランタイムの最適化を有効または無効にします。値には alwaysnever、および provisioned-concurrency があります。詳細については、「プロビジョニングされた同時実行数の設定」を参照してください。

表示されるサンプル値は、最新のランタイムを反映しています。特定の変数やその値の有無は、以前のランタイムでは異なる場合があります。

環境変数の保護

Lambda は、アカウントで作成したキー (AWS 管理のカスタマーマスターキー (CMK)) を使用して環境変数を暗号化します。このキーの使用は無料です。デフォルトのキーの代わりに、Lambda で使用する独自のキーを指定することもできます。

キーを指定すると、そのキーへのアクセス権を持つアカウントのユーザーのみが、関数の環境変数を表示または管理できます。組織には、暗号化に使用するキーを管理したり、キーの更新時期を制御したりするための内外の要件が存在する場合もあります。

カスタマー管理の CMK を使用するには

  1. Lambda コンソールで [Functions (関数)] ページを開きます。

  2. 関数を選択します。

  3. [Configuration] (設定) を選択してから、[Environment variables] (環境変数) を選択します。

  4. [環境変数] で、[編集] を選択します。

  5. [暗号化設定] を展開します。

  6. [カスタマーマスターキーの使用] を選択します。

  7. カスタマー管理の CMK を選択します。

  8. [Save] を選択します。

カスタマー管理の CMK には、標準の AWS KMS 料金がかかります。

ユーザーや関数の実行ロールには、デフォルトの暗号化キーを使用するための AWS KMS アクセス許可が不要です。カスタマー管理の CMK を使用するには、キーを使用するためのアクセス許可が必要です。Lambda はユーザーのアクセス許可を使用して、キーを付与します。これにより、Lambda はこのキーを暗号化に使用できます。

  • kms:ListAliases - Lambda コンソールでキーを表示します。

  • kms:CreateGrantkms:Encrypt - 関数でカスタマー管理の CMK を設定します。

  • kms:Decrypt - カスタマー管理の CMK で暗号化された環境変数を表示および管理します。

これらのアクセス許可は、ユーザーアカウントまたはキーのリソースベースのアクセス許可ポリシーから取得できます。ListAliasesLambda の管理ポリシーから提供されます。キーポリシーは、キーユーザーグループのユーザーに対して残りのアクセス許可を付与します。

Decrypt アクセス許可を持たないユーザーは、引き続き関数を管理できますが、Lambda コンソールで環境変数を表示または管理することはできません。ユーザーが環境変数を表示できないようにするには、デフォルトキー、カスタマー管理キー、またはすべてのキーへのアクセスを拒否するステートメントをユーザーのアクセス許可に追加します。

例 IAM ポリシー - キー ARN によるアクセスの拒否

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-2:123456789012:key/3be10e2d-xmpl-4be4-bc9d-0405a71945cc"
        }
    ]
}
Lambda コンソールでの復号アクセス許可のないユーザーに対するエラーメッセージ。

キーのアクセス許可の管理の詳細については、「AWS KMSでのキーポリシーの使用」を参照してください。

また、環境変数値を Lambda に送信する前にクライアント側で暗号化し、関数コードで復号することもできます。これにより、キーを使用するアクセス許可を持つユーザーであっても、Lambda コンソールと API 出力でシークレットの値が隠されます。コードでは、暗号化された値を環境から取得し、AWS KMS API を使用して復号します。

クライアント側で環境変数を暗号化するには

  1. Lambda コンソールで [Functions (関数)] ページを開きます。

  2. 関数を選択します。

  3. [Configuration] (設定) を選択してから、[Environment variables] (環境変数) を選択します。

  4. [環境変数] で、[編集] を選択します。

  5. [暗号化設定] を展開します。

  6. [Enable helpers for encryption in transit (転送中の暗号化のためにヘルパーを有効にする)] を選択します。

  7. 変数の横にある [暗号化] を選択して、値を暗号化します。

  8. [Save] を選択します。

注記

コンソール暗号化ヘルパーを使用する場合、関数に実行ロールkms:Decrypt API オペレーションを呼び出すアクセス許可が必要です。

関数の言語のサンプルコードを表示するには、環境変数の横にある [コード] を選択します。サンプルコードは、関数の環境変数を取得してその値を復号する方法を示しています。

もう 1 つのオプションは、パスワードを AWS Secrets Manager シークレットに保存することです。AWS CloudFormation テンプレート内のシークレットを参照して、データベースにパスワードを設定できます。また、Lambda 関数に環境変数の値を設定することもできます。例については、次のセクションを参照ください。

サンプルコードとテンプレート

このガイドの GitHub リポジトリのサンプルアプリケーションは、関数コードと AWS CloudFormation テンプレートで環境変数を使用する方法を示しています。

サンプルアプリケーション

  • Blank 関数 - 同じテンプレートに関数と Amazon SNS トピックを作成します。トピックの名前を環境変数の関数に渡します。コードで環境変数を読み取ります(複数言語)。

  • RDS MySQL - 1 つのテンプレートに VPC とAmazon RDS DB インスタンスを作成して、パスワードを Secrets Manager に保存します。アプリケーションテンプレートで、VPC スタックからデータベースの詳細をインポートし、Secrets Manager からパスワードを読み取り、すべての接続設定を環境変数の関数に渡します。