growing hard days.

API GatewayをトリガーにしたときのLambdaリソースベースポリシー

2020/03/24 2020/06/16

先日、SwaggerからAPI Gatewayを作ったときに、API Gatewayのリソース名が間違えてたことで、リソースベースポリシーのARNが違ってしまって実行エラーになってました。
マネジメントコンソールでうまくやってくれるから便利なんですよね。
ということで、マネジメントコンソールで設定したときの、API Gatewayトリガーのリソースベースポリシーを見てみました。

{
  "Version": "2012-10-17",
  "Id": "default",
  "Statement": [
    {
      "Sid": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
      "Effect": "Allow",
      "Principal": {
        "Service": "apigateway.amazonaws.com"
      },
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:ap-northeast-1:123456789012:function:tra_bot_teams",
      "Condition": {
        "ArnLike": {
          "AWS:SourceArn": "arn:aws:execute-api:ap-northeast-1:123456789012:1hoge2hoge/*/POST/"
        }
      }
    }
  ]
}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

{

"Version": "2012-10-17",

"Id": "default",

"Statement": [

{

"Sid": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxx",

"Effect": "Allow",

"Principal": {

"Service": "apigateway.amazonaws.com"

},

"Action": "lambda:InvokeFunction",

"Resource": "arn:aws:lambda:ap-northeast-1:123456789012:function:tra_bot_teams",

"Condition": {

"ArnLike": {

"AWS:SourceArn": "arn:aws:execute-api:ap-northeast-1:123456789012:1hoge2hoge/*/POST/"

}

}

}

]

}

PrincipalでAPI Gatewayが、”lambda:InvokeFunction”する権限と。
ConditionはAWS:SourceArnでした。
メソッドまで設定されているのですね。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS apigateway, AWS, lambda

Tweet

関連記事

: Organizations組織でAWS SSOを有効にする

先日AWS Control Towerで環境を作ったら、自動でAWS SSOがで …

: RDSリザーブドDBインスタンスを購入しました

リザーブドインスタンス推奨事項を確認したで確認した結果、購入したほうがよさそうで …

: Route 53で不要なドメインを削除

勢いで作ったけど結局使うのをやめたドメインがあります。要らないので削除しました …

: JAWS DAYS 2018 「Cost-Driven AWS クラウドアーキテクチャデザインとコスト最適化方法 – Cost-Driven AWS Cloud Architecture Design : The Lean Startup on AWS」を聞きました

以下は、思ったことや気になったことをメモしていますので、必ずしも登壇者の発表内容 …

: EC2 Instance Connect向けのセキュリティグループのソースにプレフィックスリストを

EC2 Instance Connect、便利ですね。キーペア不要で、EC2イ …

: ENAが有効なEC2インスタンスの帯域幅をiperf3で確認してみた

同じ Amazon VPC 内で Amazon EC2 Linux インスタンス …

: Amazon API GatewayのIAM認証の動作を確認しました

API GatewayのIAM認証は、IAMユーザーが実行できるように認証する、 …

: サービスディスカバリを使用してECSサービスの作成

ECSデベロッパーガイドのチュートリアル:サービスディスカバリを使用して、サービ …

: 「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー」執筆裏話

今日2019/4/20発売となりました「AWS認定資格試験テキスト AWS認定ク …

: SCPが影響しないサービスにリンクされたロールにEC2が引き受けるIAMロールは含まれないことを確認

ドキュメントで確認サービスコントロールポリシーのユーザーガイドには、「SCPは …

PREV: Former2で既存リソースのCloudFormationテンプレート出力を試してみた
NEXT: 試そうとしてたらSavings Plans買っちゃいました