AWS Lambda 環境変数の使用
環境変数を使用すると、コードを更新せずに関数の動作を調整できます。環境変数は、関数のバージョン固有の設定に保存される文字列のペアです。Lambda ランタイムは、環境変数をコードで使用できるようにし、関数と呼び出しリクエストに関する情報を含む追加の環境変数を設定します。
データベースのセキュリティを強化するには、環境変数の代わりに AWS Secrets Manager を使用してデータベースの認証情報を保存することをお勧めします。詳細については、Lambda 関数のデータベースアクセスの設定を参照してください。
環境変数は、関数呼び出しの前には評価されません。定義した値はリテラル文字列とみなされ、展開されません。関数コードで変数の評価を実行します。
環境変数の設定
環境変数は、関数の未公開バージョンで定義します。バージョンを公開するとき、他のバージョン固有の設定とともに、そのバージョンの環境変数がロックされます。
関数の環境変数を作成するには、キーと値を定義します。関数は、キーの名前を使用して、環境変数の値を取得します。
Lambda コンソールで環境変数を設定するには
Lambda コンソールの [Functions
] (関数) ページを開きます。 -
関数を選択します。
-
[Configuration] (設定) を選択してから、[Environment variables] (環境変数) を選択します。
-
[環境変数] で、[編集] を選択します。
-
[環境変数の追加] を選択します
-
キーと値を入力します。
要件
-
キーは文字で始まり、少なくとも 2 文字です。
-
キーには、文字、数字、およびアンダースコア (
_) のみを含める。 -
キーは Lambda によって予約されていない。
-
すべての環境変数の合計サイズは 4 KB を超えない。
-
-
[Save] を選択します。
API を使用した環境変数の設定
AWS CLI または AWS SDK で環境変数を管理するには、以下の API オペレーションを使用します。
次の例では、my-function という名前の関数に 2 つの環境変数を設定します。
aws lambda update-function-configuration --function-name my-function \ --environment "Variables={BUCKET=my-bucket,KEY=file.txt}"
update-function-configuration コマンドを使用して環境変数を適用すると、Variables 構造体の内容全体が置き換えられます。新しい環境変数を追加するときに既存の環境変数を保持するには、リクエストに既存の値をすべて含めます。
現在の設定を取得するには、get-function-configuration コマンドを使用します。
aws lambda get-function-configuration --function-name my-function
次のような出力が表示されます。
{ "FunctionName": "my-function", "FunctionArn": "arn:aws:lambda:us-east-2:123456789012:function:my-function", "Runtime": "nodejs16.x", "Role": "arn:aws:iam::123456789012:role/lambda-role", "Environment": { "Variables": { "BUCKET": "my-bucket", "KEY": "file.txt" } }, "RevisionId": "0894d3c1-2a3d-4d48-bf7f-abade99f3c15", ... }
設定の読み取り時と更新時の間で値が変わらないようにするには、get-function-configuration の出力のリビジョン ID をパラメータとして update-function-configuration に渡します。
関数の暗号化キーを設定するには、KMSKeyARN オプションを設定します。
aws lambda update-function-configuration --function-name my-function \ --kms-key-arn arn:aws:kms:us-east-2:123456789012:key/055efbb4-xmpl-4336-ba9c-538c7d31f599
環境変数のシナリオ例
環境変数を使用して、テスト環境および本番環境における関数の動作をカスタマイズできます。例えば、同じコードでも設定が異なる 2 つの関数を作成できます。1 つの関数はテストデータベースに接続し、もう 1 つはプロダクションデータベースに接続します。この状況では、環境変数を使用して、データベースのホスト名とその他の接続の詳細を関数に伝えます。
次の例は、データベースホストとデータベース名を環境変数として定義する方法を示しています。
テスト環境で本番環境よりも多くのデバッグ情報を生成する場合は、環境変数を設定して、より詳細なログ記録またはトレースを使用するようにテスト環境を設定できます。
環境変数の取得
関数コード内の環境変数を取得するには、プログラミング言語の標準メソッドを使用します。
Lambda は、環境変数を保管時に暗号化して安全に保存します。別の暗号化キーを使用したり、クライアント側で環境変数値を暗号化したり、AWS CloudFormation テンプレートで AWS Secrets Manager を使用して環境変数を設定したりするように Lambda を設定できます。
定義されたランタイム環境変数
Lambda ランタイムは、初期化中にいくつかの環境変数を設定します。ほとんどの環境変数は、関数またはランタイムに関する情報を提供します。これらの環境変数のキーは予約済みであるため、関数設定では設定できません。
予約済み環境変数
-
_HANDLER- 関数に設定されているハンドラの場所。 -
_X_AMZN_TRACE_ID- X-Ray トレースヘッダー。この環境変数は、(例えば、providedまたはprovided.al2識別子を使用する) カスタムランタイム用に定義するものではありません。カスタムランタイムには 次の呼び出し からのLambda-Runtime-Trace-Idレスポンスのヘッダーに_X_AMZN_TRACE_IDを設定できます。 -
AWS_REGION- Lambda 関数が実行される AWS リージョン。 -
AWS_EXECUTION_ENV–AWS_Lambda_(例:AWS_Lambda_java8) のプレフィックスが付いたランタイム識別子。この環境変数は、(例えば、providedまたはprovided.al2識別子を使用する) カスタムランタイム用に定義するものではありません。 -
AWS_LAMBDA_FUNCTION_NAME- 関数の名前。 -
AWS_LAMBDA_FUNCTION_MEMORY_SIZE- 関数で使用できるメモリの量 (MB 単位)。 -
AWS_LAMBDA_FUNCTION_VERSION- 実行される関数のバージョン。AWS_LAMBDA_INITIALIZATION_TYPE-on-demandまたはprovisioned-concurrencyのいずれかがで指定される、関数の初期化処理のタイプ。詳細については、「プロビジョニングされた同時実行数の設定」を参照してください。 -
AWS_LAMBDA_LOG_GROUP_NAME、AWS_LAMBDA_LOG_STREAM_NAME- Amazon CloudWatch Logs グループの名前と関数のストリーム。 -
AWS_ACCESS_KEY、AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_SESSION_TOKEN– 関数の実行ロールから取得したアクセスキー。 -
LAMBDA_TASK_ROOT- Lambda 関数コードへのパス。 -
LAMBDA_RUNTIME_DIR- ランタイムライブラリへのパス。
以下の追加の環境変数は予約されていないため、関数設定で拡張できます。
予約されていない環境変数
-
LANG- ランタイムのロケール (en_US.UTF-8)。 -
PATH- 実行パス (/usr/local/bin:/usr/bin/:/bin:/opt/bin)。 -
LD_LIBRARY_PATH- システムライブラリのパス (/lib64:/usr/lib64:$LAMBDA_RUNTIME_DIR:$LAMBDA_RUNTIME_DIR/lib:$LAMBDA_TASK_ROOT:$LAMBDA_TASK_ROOT/lib:/opt/lib)。 -
NODE_PATH- (Node.js) Node.js ライブラリのパス (/opt/nodejs/node12/node_modules/:/opt/nodejs/node_modules:$LAMBDA_RUNTIME_DIR/node_modules)。 -
PYTHONPATH- (Python 2.7、3.6、3.8) Python ライブラリのパス ($LAMBDA_RUNTIME_DIR)。 -
GEM_PATH- (Ruby) Ruby ライブラリのパス ($LAMBDA_TASK_ROOT/vendor/bundle/ruby/2.5.0:/opt/ruby/gems/2.5.0)。 -
AWS_XRAY_CONTEXT_MISSING- X-Rayトレースの場合、Lambda は X-Ray SDK からランタイムエラーがスローされないように、これをLOG_ERRORに設定します。 -
AWS_XRAY_DAEMON_ADDRESS- X-Ray トレーシングの場合、X-Ray デーモンの IP アドレスとポート。 -
AWS_LAMBDA_DOTNET_PREJIT- .NET 3.1 ランタイムの場合、この変数を設定して、.NET 3.1 固有のランタイムの最適化を有効または無効にします。値にはalways、never、およびprovisioned-concurrencyがあります。詳細については、「プロビジョニングされた同時実行数の設定」を参照してください。 -
TZ- 環境のタイムゾーン (UTC)。実行環境は、システムクロックを同期するために NTP を使用します。
表示されるサンプル値は、最新のランタイムを反映しています。特定の変数やその値の有無は、以前のランタイムでは異なる場合があります。
環境変数の保護
環境変数の保護する場合、サーバー側の暗号化を使用して保管中のデータを保護し、クライアント側の暗号化を使用して転送中のデータを保護することができます。
データベースのセキュリティを強化するには、環境変数の代わりに AWS Secrets Manager を使用してデータベースの認証情報を保存することをお勧めします。詳細については、Lambda 関数のデータベースアクセスの設定を参照してください。
保管時のセキュリティ
Lambda は、AWS KMS key で常にサーバー側の暗号化を提供します。デフォルトでは、Lambda は AWS マネージドキーを使用します。このデフォルトの動作がワークフローに適している場合は、追加の設定は必要ありません。Lambda はアカウントに AWS マネージドキーを作成し、それに対するアクセス許可を管理します。このキーの使用に対する AWS の請求は発生しません。
必要に応じて、AWS KMS カスタマー管理のキーを使用することもできます。その場合、KMS キーのローテーションの制御や、KMS キーの管理に関する組織の要件への準拠を行うことができます。カスタマー管理のキーを使用すると、KMS キーへのアクセス許可があるアカウントのユーザーのみが、関数の環境変数を表示または管理できます。
カスタマー管理のキーには、標準の AWS KMS 料金が発生します。詳細については、AWS KMS製品ページのAWS Key Management Serviceの料金
転送中のセキュリティ
セキュリティを強化するために、転送中の暗号化のヘルパーを有効にして、転送中の保護のために環境変数をクライアント側で暗号化することができます。
環境変数の暗号化を設定するには
-
AWS Key Management Service (AWS KMS) を使用して、Lambda でサーバー側およびクライアント側の暗号化に使用するカスタマー管理のキーを作成します。詳細については、 AWS Key Management Service デベロッパーガイドの「キーの作成」を参照してください。
-
Lambda コンソールを使用して、[環境変数の編集] ページに移動します。
Lambda コンソールの [Functions
] (関数) ページを開きます。 -
関数を選択します。
-
[設定] を選択し、左側のナビゲーションバーで [環境変数] を選択します。
-
[環境変数] セクションで、[編集] を選択します。
-
[暗号化設定] を展開します。
-
コンソール暗号化ヘルパーを有効にして、クライアント側の暗号化を使用して転送中のデータを保護します (オプション)。
-
[転送時の暗号化] で、[転送時の暗号化に使用するヘルパーの有効化] を選択します。
-
コンソール暗号化ヘルパーを有効にする各環境変数に対して、環境変数の横にある [Encrypt] (暗号化) を選択します。
-
転送時に暗号化する AWS KMS key で、この手順の最初で作成したカスタマー管理キーを選択します。
-
[実行ロールポリシー] をクリックしてポリシーをコピーします。このポリシーは、環境変数を復号化するアクセス許可を関数の実行ロールに付与します。
このポリシーは、この手順の最後のステップで使用するために保存します。
-
環境変数を暗号化する関数にコードを追加します。[シークレットスニペットの復号] を選択して例を表示します。
-
-
保管中の暗号化に使用するカスタマー管理のキーを指定します (オプション)。
-
[カスタマーマスターキーの使用] を選択します。
-
この手順の最初に作成したカスタマー管理のキーを選択します。
-
-
[Save] を選択します。
-
アクセス許可を設定します。
サーバー側の暗号化でカスタマー管理のキーを使用している場合は、関数の環境変数の表示または管理を許可する AWS Identity and Access Management (IAM) ユーザーまたはロールにアクセス許可を付与します。詳細については、「サーバー側の暗号化 KMS キーに対するアクセス許可の管理」を参照してください。
転送時のセキュリティの目的でクライアント側の暗号化を有効にする場合、関数に
kms:DecryptAPI オペレーションを呼び出すためのアクセス許可が必要です。この手順で以前に保存したポリシーを関数の実行ロールに追加します。
サーバー側の暗号化 KMS キーに対するアクセス許可の管理
ユーザーや関数の実行ロールには、デフォルトの暗号化キーを使用するための AWS KMS アクセス許可が不要です。カスタマー管理のキーを使用するには、キーを使用するためのアクセス許可が必要です。Lambda はユーザーのアクセス許可を使用して、キーを付与します。これにより、Lambda はこのキーを暗号化に使用できます。
-
kms:ListAliases- Lambda コンソールでキーを表示します。 -
kms:CreateGrant、kms:Encrypt- 関数でカスタマー管理のキーを設定します。 -
kms:Decrypt- カスタマー管理のキーで暗号化された環境変数を表示および管理します。
これらのアクセス許可は、ユーザーアカウントまたはキーのリソースベースのアクセス許可ポリシーから取得できます。ListAliases は Lambda の管理ポリシーから提供されます。キーポリシーは、キーユーザーグループのユーザーに対して残りのアクセス許可を付与します。
Decrypt アクセス許可を持たないユーザーは、引き続き関数を管理できますが、Lambda コンソールで環境変数を表示または管理することはできません。ユーザーが環境変数を表示できないようにするには、デフォルトキー、カスタマー管理キー、またはすべてのキーへのアクセスを拒否するステートメントをユーザーのアクセス許可に追加します。
例 IAM ポリシー - キー ARN によるアクセスの拒否
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/3be10e2d-xmpl-4be4-bc9d-0405a71945cc" } ] }
ポリシーの詳細については、 AWS Key Management Service デベロッパーガイドの「AWS KMS でのキーポリシーの使用」を参照してください。
サンプルコードとテンプレート
このガイドの GitHub リポジトリのサンプルアプリケーションは、関数コードと AWS CloudFormation テンプレートで環境変数を使用する方法を示しています。
サンプルアプリケーション
-
Blank function – ログ記録、環境変数、AWS X-Ray トレース、レイヤー、単位テスト、および AWS SDK の使用状況を表示する基本的な関数を作成します。
-
RDS MySQL
- 1 つのテンプレートに VPC とAmazon RDS DB インスタンスを作成して、パスワードを Secrets Manager に保存します。アプリケーションテンプレートで、VPC スタックからデータベースの詳細をインポートし、Secrets Manager からパスワードを読み取り、すべての接続設定を環境変数の関数に渡します。
