チュートリアル: API Gateway で Lambda を使用する

このチュートリアルでは、HTTP リクエストを使用して Lambda 関数を呼び出す REST API を作成します。Lambda 関数は、DynamoDB テーブルで作成、読み取り、更新、および削除 (CRUD) 操作を実行します。このチュートリアルで提供される関数はデモ用ですが、任意の Lambda 関数を呼び出すことができる API Gateway REST API を設定する方法を学びます。

API Gateway を使用することで、Lambda 関数を呼び出すためのセキュアな HTTP エンドポイントがユーザーに提供されるとともに、トラフィックのスロットリングと、API 呼び出しの自動的な検証と承認によって、関数に対する大量の呼び出しを管理するためにも役立ちます。API Gateway は、AWS Identity and Access Management (IAM) と Amazon Cognito を使用した柔軟なセキュリティコントロールも提供します。これは、アプリケーションへの呼び出しに事前承認が必要なユースケースに役立ちます。

このチュートリアルは、以下の段階を通じて完了します。

1. DynamoDB テーブルで操作を実行するための Lambda 関数をPython または Node.js で作成し、設定する。

2. API Gateway で、Lambda 関数に接続するための REST API を作成する。

3. DynamoDB テーブルを作成し、コンソールで Lambda 関数を使用してテーブルをテストする。

4. API をデプロイし、ターミナルで curl を使用してセットアップ全体をテストする。

これらの段階を完了することにより、あらゆる規模で Lambda 関数をセキュアに呼び出すことができる HTTP エンドポイントを作成するために API Gateway を使用する方法を学びます。また、API をデプロイする方法と、それをコンソールでテスト、およびターミナルを使用して HTTP リクエストを送信することでテストする方法も学びます。

このチュートリアルで作成する Lambda アプリケーションのサンプル AWS Serverless Application Model (AWS SAM) テンプレートも利用できます。「AWS SAMAPI Gateway アプリケーションの テンプレート」を参照してください。

前提条件

AWS アカウントにサインアップする

以下がない場合は、以下のステップを実行して AWS アカウント を作成します。

AWS アカウント にサインアップするには

1. https://portal.aws.amazon.com/billing/signup を開きます。

2. オンラインの手順に従います。

   サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて検証コードを入力するように求められます。

   AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、管理ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS のサインアップ処理が完了すると、ユーザーに確認メールが送信されます。https://aws.amazon.com/ の [My Account] (アカウント) をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理ユーザーを作成する

AWS アカウント にサインアップした後、日常的なタスクにルートユーザーを使用しないように、管理ユーザーを作成します。

AWS アカウントのルートユーザー をセキュリティで保護する

1. [ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console にサインインします。次のページでパスワードを入力します。

   ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「ルートユーザーとしてサインインする」を参照してください。

2. ルートユーザーの多要素認証 (MFA) を有効にします。

   手順については、IAM ユーザーガイドの「AWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。

管理ユーザーを作成する

• 日常的な管理タスクのためには、AWS IAM Identity Center (successor to AWS Single Sign-On) の管理ユーザーに管理アクセスを割り当てます。

  手順については、AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドの「開始方法」を参照してください。

管理ユーザーとしてサインインする

• IAM Identity Center ユーザーとしてサインインするには、IAM Identity Center ユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

  IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「AWS アクセスポータルにサインインする」を参照してください。

AWS Command Line Interface をインストールする

AWS Command Line Interface をまだインストールしていない場合は、「最新バージョンの AWS CLI のインストールまたは更新」にある手順に従ってインストールしてください。

このチュートリアルでは、コマンドを実行するためのコマンドラインターミナルまたはシェルが必要です。Linux および macOS では、任意のシェルとパッケージマネージャーを使用してください。

注記

Windows では、Lambda でよく使用される一部の Bash CLI コマンド (zip など) が、オペレーティングシステムの組み込みターミナルでサポートされていません。Ubuntu および Bash の Windows 統合バージョンを取得するには、Windows Subsystem for Linux をインストールします。

許可ポリシーを作成する

Lambda 関数の実行ロールを作成する前に、必要な AWS リソースにアクセスするための許可を関数に付与する許可ポリシーを作成する必要があります。このチュートリアルでは、このポリシーが、DynamoDB テーブルで CRUD 操作を実行し、Amazon CloudWatch Logs に書き込むことを Lambda に許可します。

ポリシーを作成する

1. IAM コンソールの [Policies (ポリシー)] ページを開きます。

2. [Create Policy] (ポリシーの作成) を選択します。

3. [JSON] タブを選択して、次のカスタムポリシーを JSON エディタに貼り付けます。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "Stmt1428341300017",
         "Action": [
           "dynamodb:DeleteItem",
           "dynamodb:GetItem",
           "dynamodb:PutItem",
           "dynamodb:Query",
           "dynamodb:Scan",
           "dynamodb:UpdateItem"
         ],
         "Effect": "Allow",
         "Resource": "*"
       },
       {
         "Sid": "",
         "Resource": "*",
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents"
         ],
         "Effect": "Allow"
       }
     ]
   }

4. Next: Tags (次へ : タグ) を選択します。

5. Next: Review (次へ: レビュー) を選択します。

6. [ポリシーの確認] でポリシーの [名前] に「lambda-apigateway-policy」と入力します。

7. [Create policy] (ポリシーを作成) を選択します。

実行ロールを作成する

実行ロールとは、AWS のサービスとリソースにアクセスする許可を Lambda 関数に付与する AWS Identity and Access Management (IAM) ロールです。関数が DynamoDB テーブルで操作を実行できるようにするには、前のステップで作成した許可ポリシーをアタッチします。

実行ロールを作成して、カスタム許可ポリシーをアタッチする

1. IAM コンソールの [ロール] ページを開きます。

2. [ロールの作成] を選択します。

3. 信頼されたエンティティには、[AWS サービス] を選択し、ユースケースには [Lambda] を選択します。

4. [Next] (次へ) をクリックします。

5. ポリシー検索ボックスに、「lambda-apigateway-policy」と入力します。

6. 検索結果で作成したポリシー (lambda-apigateway-policy) を選択し、[Next] (次へ) を選択します。

7. [Role details] (ロールの詳細)で [Role name] (ロール名) に lambda-apigateway-role を入力してから、[Create role] (ロールを作成) を選択します。

このチュートリアルの後半で、先ほど作成したロールの Amazon リソースネーム (ARN) が必要になります。IAM コンソールの [Roles] (ロール) ページでロール名 (lambda-apigateway-role) を選択し、[Summary] (概要) ページに表示されている [Role ARN] (ロールの ARN) をコピーします。

関数を作成する

以下のコード例は、作成される DynamoDB テーブルで実行する操作と、いくつかのペイロードデータを指定する、API Gateway からのイベント入力を受け取ります。関数が受け取るパラメータが有効な場合、リクエストされた操作をテーブルで実行します。

Node.js

例 index.mjs

console.log('Loading function');

import { DynamoDBDocumentClient, PutCommand, GetCommand, 
         UpdateCommand, DeleteCommand} from "@aws-sdk/lib-dynamodb";
import { DynamoDBClient } from "@aws-sdk/client-dynamodb";

const ddbClient = new DynamoDBClient({ region: "us-west-2" });
const ddbDocClient = DynamoDBDocumentClient.from(ddbClient);

// Define the name of the DDB table to perform the CRUD operations on
const tablename = "lambda-apigateway";

/**
 * Provide an event that contains the following keys:
 *
 *   - operation: one of 'create,' 'read,' 'update,' 'delete,' or 'echo'
 *   - payload: a JSON object containing the parameters for the table item
 *              to perform the operation on
 */
export const handler = async (event, context) => {
   
     const operation = event.operation;
   
     if (operation == 'echo'){
          return(event.payload);
     }
     
    else { 
        event.payload.TableName = tablename;
        
        switch (operation) {
          case 'create':
               await ddbDocClient.send(new PutCommand(event.payload));
               break;
          case 'read':
               var table_item = await ddbDocClient.send(new GetCommand(event.payload));
               console.log(table_item);
               break;
          case 'update':
               await ddbDocClient.send(new UpdateCommand(event.payload));
               break;
          case 'delete':
               await ddbDocClient.send(new DeleteCommand(event.payload));
               break;
          default:
            return ('Unknown operation: ${operation}');
          }
    }
};

注記

この例では、DynamoDB テーブルの名前が関数コード内の変数として定義されます。実際のアプリケーションでは、このパラメータを環境変数として渡し、テーブル名をハードコーディングしないことがベストプラクティスです。詳細については、「AWS Lambda 環境変数の使用」を参照してください。

関数を作成する

1. コード例を index.mjs という名前のファイルとして保存し、必要な場合は、コードで指定されている AWS リージョンを編集します。コード内で指定されているリージョンは、このチュートリアルの後半で DynamoDB テーブルを作成するリージョンと同じものにする必要があります。

2. 以下の zip コマンドを使用して、デプロイパッケージを作成します。

   zip function.zip index.mjs

3. create-function AWS CLI コマンドを使用して、Lambda 関数を作成します。role パラメータには、先ほどコピーした実行ロールの Amazon リソースネーム (ARN) を入力します。

   aws lambda create-function --function-name LambdaFunctionOverHttps \
   --zip-file fileb://function.zip --handler index.handler --runtime nodejs18.x \
   --role arn:aws:iam::123456789012:role/service-role/lambda-apigateway-role

Python 3

例 LambdaFunctionOverHttps.py

import boto3
import json

# define the DynamoDB table that Lambda will connect to
tableName = "lambda-apigateway"

# create the DynamoDB resource
dynamo = boto3.resource('dynamodb').Table(tableName)

print('Loading function')

def handler(event, context):
    '''Provide an event that contains the following keys:

      - operation: one of the operations in the operations dict below
      - payload: a JSON object containing parameters to pass to the 
                 operation being performed
    '''
    
    # define the functions used to perform the CRUD operations
    def ddb_create(x):
        dynamo.put_item(**x)

    def ddb_read(x):
        dynamo.get_item(**x)

    def ddb_update(x):
        dynamo.update_item(**x)
        
    def ddb_delete(x):
        dynamo.delete_item(**x)

    def echo(x):
        return x

    operation = event['operation']

    operations = {
        'create': ddb_create,
        'read': ddb_read,
        'update': ddb_update,
        'delete': ddb_delete,
        'echo': echo,
    }

    if operation in operations:
        return operations[operation](event.get('payload'))
    else:
        raise ValueError('Unrecognized operation "{}"'.format(operation))

注記

この例では、DynamoDB テーブルの名前が関数コード内の変数として定義されます。実際のアプリケーションでは、このパラメータを環境変数として渡し、テーブル名をハードコーディングしないことがベストプラクティスです。詳細については、「AWS Lambda 環境変数の使用」を参照してください。

関数を作成する

1. サンプルコードを LambdaFunctionOverHttps.py のファイル名で保存します。

2. 以下の zip コマンドを使用して、デプロイパッケージを作成します。

   zip function.zip LambdaFunctionOverHttps.py

3. create-function AWS CLI コマンドを使用して、Lambda 関数を作成します。role パラメータには、先ほどコピーした実行ロールの Amazon リソースネーム (ARN) を入力します。

   aws lambda create-function --function-name LambdaFunctionOverHttps \
   --zip-file fileb://function.zip --handler LambdaFunctionOverHttps.handler --runtime python3.9 \
   --role arn:aws:iam::123456789012:role/service-role/lambda-apigateway-role

AWS CLI を使用して関数を呼び出す

関数を API Gateway と統合する前に、関数が正常にデプロイされたことを確認します。API Gateway API が Lambda に送信するパラメータが含まれるテストイベントを作成し、AWS CLI invoke コマンドを使用して関数を実行します。

AWS CLI を使用して Lambda 関数を呼び出す

1. 次の JSON をファイル名 input.txt で保存します。

   {
       "operation": "echo",
       "payload": {
           "somekey1": "somevalue1",
           "somekey2": "somevalue2"
       }
   }

2. 次の invoke AWS CLI コマンドを実行します。

   aws lambda invoke --function-name LambdaFunctionOverHttps \
   --payload file://input.txt outputfile.txt --cli-binary-format raw-in-base64-out

   AWS CLI バージョン 2 を使用している場合、cli-binary-format オプションは必須です。これをデフォルト設定にするには、aws configure set cli-binary-format raw-in-base64-out を実行します。詳細については、AWS CLI でサポートされているグローバルコマンドラインオプションを参照してください。

   以下のようなレスポンスが表示されます。

   {
   "StatusCode": 200,
   "ExecutedVersion": "LATEST"
   }
   

3. JSON テストイベントで指定した echo 操作を関数が実行したことを確認します。outputfile.txt ファイルを調べて、以下が含まれていることを確認します。

   {"somekey1": "somevalue1", "somekey2": "somevalue2"}

API Gateway を使用して REST API を作成する

このステップでは、Lambda 関数を呼び出すために使用する API Gateway REST API を作成します。

API を作成するには

1. API Gateway コンソールを開きます。

2. [Create API] を選択します。

3. [REST API] ボックスで、[構築] を選択します。

4. [Settings] (設定) の [API Name] (API 名) に DynamoDBOperations と入力します。

5. API の作成 を選択します。

REST API でリソースを作成する

API に HTTP メソッドを追加するには、まずそのメソッドが操作を実行するリソースを作成する必要があります。ここでは、DynamoDB テーブルを管理するためのリソースを作成します。

リソースを作成する

1. API Gateway コンソール] の API の [リソース] ツリーでルート (/) レベルが強調表示されていることを確認します。[アクション] メニューで、[リソースの作成] を選択します。

2. [新しい子リソース] で、次の作業を行います。

   1. [Resource Name (リソース名)] に DynamoDBManager と入力します。

   2. [リソースパス] は /dynamodbmanager のままにします。

3. [リソースの作成] を選択します。

HTTP POST メソッドを作成する

このステップでは、DynamoDBManager リソースのためのメソッド (POST) を作成します。この POST メソッドを Lambda 関数にリンクして、メソッドが HHTTP リクエストを受け取るときに、API Gateway が Lambda 関数を呼び出すようにします。

注記

このチュートリアルの目的上、DynamoDB テーブルですべての操作を実行する単一の Lambda 関数を呼び出すために、1 つの HTTP メソッド (POST) が使用されます。実際のアプリケーションでは、操作ごとに異なる Lambda 関数と HTTP メソッドを使用することがベストプラクティスです。詳細については、「The Lambda monolith」(Lambda モノリス) を参照してください。

POST メソッドを作成する

1. API Gateway コンソール] の API の [リソース] ツリーで /dynamodbmanager が強調表示されていることを確認します。[アクション]、[メソッドの作成] の順に選択します。

2. /dynamodbmanager の下に表示される小さなドロップダウンメニューで [POST] を選択し、チェックマークアイコンを選択します。

3. メソッドの[セットアップ] ペインで、次の操作を行います。

   1. [Integration type (統合タイプ)] で、[Lambda Function (Lambda 関数)] を選択します。

   2. [Lambda リージョン]で、Lambda 関数と同じ AWS リージョンを選択します。

   3. [Lambda 関数] に関数の名前 (LambdaFunctionOverHttps) を入力します。

   4. [デフォルトのイムアウトの使用] を選択します。

   5. [Save (保存)] を選択します。

4. [Lambda 関数に権限を追加する] ダイアログボックスで、[OK] を選択します。

DynamoDB テーブルを作成する

Lambda 関数が CRUD 操作を実行する空の DynamoDB テーブルを作成します。

DynamoDB テーブルを作成する

1. DynamoDB コンソールで [Tables (テーブル)] ページを開きます。

2. [Create table] (テーブルの作成) を選択します。

3. [テーブルの詳細] で、次の操作を行います。

   1. [テーブル名] に「lambda-apigateway」と入力します。

   2. [パーティションキー] に「id」と入力し、データ型を [文字列] のままにします。

4. [Table settings] (テーブル設定) では、[Default settings] (デフォルト設定) をそのまま使用します。

5. [Create table] (テーブルの作成) を選択します。

API Gateway、Lambda、および DynamoDB の統合をテストする

これで、API Gateway API メソッドの Lambda 関数および DynamoDB テーブルとの統合をテストするための準備が整いました。API Gateway コンソールで、コンソールのテスト機能を使用して POST メソッドにリクエストを直接送信します。このステップでは、まず create 操作を使用して DynamoDB テーブルに新しい項目を追加し、次に update 操作を使用してその項目を変更します。

テスト 1 DynamoDB テーブルで新しい項目を作成する

1. API Gateway コンソールで、API (DynamoDBOperations) を選択します。

2. [リソース] ツリーで、/dynamodbmanager の下の POST メソッドを選択します。

3. [メソッドの実行] ペインの [クライアント] ボックスで、[テスト] を選択します。

4. [メソッドテスト] ペインで、[クエリ文字列] と [ヘッダー] を空のままにします。[リクエスト本文] に以下の JSON を貼り付けます。

   {
     "operation": "create",
     "payload": {
       "Item": {
         "id": "1234ABCD",
         "number": 5
       }
     }
   }

5. [Test] (テスト) を選択します。

   テストが完了したときに表示される結果には、200 というステータスが表示されるはずです。このステータスコードは、create 操作が正常に実行されたことを示します。

   それを確認するため、DynamoDB テーブルに新しい項目が含まれていることをチェックします。

6. DynamoDB コンソールで [Tables] (テーブル) ページを開き、lambda-apigateway テーブルを選択します。

7. [Explore table items] (テーブルアイテムの探索) を選択します。[Items returned] (返された項目) ペインに、[id] 1234ABCD と [number] (番号) 5 がある 1 つの項目が表示されるはずです。

テスト 2 DynamoDB テーブルの項目を更新する

1. API Gateway コンソールで POST メソッドの [メソッドテスト] ペインに戻ります。

2. [メソッドテスト] ペインで、[クエリ文字列] と [ヘッダー] を空のままにします。[リクエスト本文] に以下の JSON を貼り付けます。

   {
       "operation": "update",
       "payload": {
           "Key": {
               "id": "1234ABCD"
           },
           "AttributeUpdates": {
               "number": {
                   "Value": 10
               }
           }
       }
   }

3. [Test] (テスト) を選択します。

   テストが完了したときに表示される結果には、200 というステータスが表示されるはずです。このステータスコードは、update 操作が正常に実行されたことを示します。

   それを確認するため、DynamoDB テーブルの項目が変更されていることをチェックします。

4. DynamoDB コンソールで [Tables] (テーブル) ページを開き、lambda-apigateway テーブルを選択します。

5. [Explore table items] (テーブルアイテムの探索) を選択します。[Items returned] (返された項目) ペインに、[id] 1234ABCD と [number] (番号) 10 がある 1 つの項目が表示されるはずです。

API をデプロイする

クライアントが API を呼び出すには、デプロイと関連するステージを作成する必要があります。ステージは、メソッドと統合が含まれる API のスナップショットを表します。

API をデプロイする

1. API Gateway コンソールの [API] ページを開き、DynamoDBOperations API を選択します。

2. [Actions] (アクション)、[Deploy API] (API のデプロイ) の順に選択します。

3. [Deployment stage] (デプロイされるステージ) には [New Stage] (新しいステージ) を選択し、[Stage name] (ステージ名) には test を入力します。

4. [Deploy‬] (デプロイ) をクリックします。

5. [test Stage Editor] (test ステージエディタ) で、[Invoke URL] (呼び出し URL) をコピーします。これは、HTTP リクエストを使用して関数を呼び出すために、次のステップで使用します。

HTTP リクエストを使用して関数を呼び出すために curl を使用する

これで、API に HTTP リクエストを発行することで Lambda 関数を呼び出せるようになりました。このステップでは、DynamoDB テーブルに新しい項目を作成してから、それを削除します。

curl を使用して Lambda 関数を呼び出す

1. 前のステップでコピーした呼び出し URL を使用して、以下の curl コマンドを実行します。-d (data) オプションと共に curl を使用するときは、自動的に HTTP POST メソッドが使用されます。

   curl https://l8togsqxd8.execute-api.us-west-2.amazonaws.com/test/dynamodbmanager \
   -d '{"operation": "create", "payload": {"Item": {"id": "5678EFGH", "number": 15}}}'

2. 作成操作が正常に実行されたことを確認するには、以下の手順を実行します。

   1. DynamoDB コンソールで [Tables] (テーブル) ページを開き、lambda-apigateway テーブルを選択します。

   2. [Explore table items] (テーブルアイテムの探索) を選択します。[Items returned] (返された項目) ペインに、[id] 5678EFGH と [number] (番号) 15 がある項目が表示されるはずです。

3. 以下の curl コマンドを実行して、先ほど作成した項目を削除します。独自の呼び出し URL を使用してください。

   curl https://l8togsqxd8.execute-api.us-west-2.amazonaws.com/test/dynamodbmanager \
   -d '{"operation": "delete", "payload": {"Key": {"id": "5678EFGH"}}}'

4. 削除操作が正常に実行されたことを確認します。DynamoDB コンソールの [Explore items] (項目を探索) ページにある [Items returned] (返された項目) ペインで、id 5678EFGH がある項目がテーブル内にないことを確認します。

リソースをクリーンアップする (オプション)

このチュートリアル用に作成したリソースは、保持を希望しない場合、すぐに削除できます。使用しなくなった AWS リソースを削除することで、AWS アカウントに請求される料金が発生しないようにできます。

Lambda 関数を削除する

1. Lambda コンソールの [Functions] (関数) ページを開きます。

2. 作成した関数を選択します。

3. [ Actions] で、[Delete ] を選択します。

4. テキスト入力フィールドに delete と入力し、[Delete] (削除) を選択します。

実行ロールを削除する

1. IAM コンソールの [Roles (ロール)] ページを開きます。

2. 作成した実行ロールを選択します。

3. [Delete] (削除) をクリックします。

4. テキスト入力フィールドにロールの名前を入力し、[Delete] (削除) を選択します。

API を削除する

1. API Gateway コンソールで API のページを開きます。

2. 作成した API を選択します。

3. [ Actions] で、[Delete ] を選択します。

4. [削除] を選択します。

DynamoDB テーブルを削除するには

1. DynamoDB コンソールで [Tables (テーブル)] ページを開きます。

2. 作成したテーブルを選択します。

3. [削除] を選択します。

4. テキストボックスに「delete」と入力します。

5. [テーブルの削除] を選択します。