AWS複数アカウントのリソースをLambda(Python)から一括操作したくて

2020/01/11 2020/01/16

AWSの複数アカウント(30ちょい)のリソースをまとめて自動処理したくて。
とりあえず、上記のようなアーキテクチャにしました。

操作をする人は、少なくとも次のような人の予定なので問題ないはず。
* マネジメントコンソールにログインして、StepFunctionsステートマシンの実行ができる。
* Jsonを嫌がらない。

AWS StepFunctionsの動的並列処理が可能になってましたので、使いました。
超便利じゃないですか。

StepFunctions ステートマシン

{
  "StartAt": "AccountInitialMap",
  "States": {
    "AccountInitialMap": {
      "Type": "Map",
      "InputPath": "$",
      "ItemsPath": "$.accounts",
      "Iterator": {
        "StartAt": "AccountInitialTask",
        "States": {
          "AccountInitialTask": {
            "Type": "Task",
            "Resource": "arn:aws:lambda:us-east-2:000000000000:function:account-initialize",
            "End": true
          }
        }
      },
      "End": true
    }
  }
}

{

"StartAt": "AccountInitialMap",

"States": {

"AccountInitialMap": {

"Type": "Map",

"InputPath": "$",

"ItemsPath": "$.accounts",

"Iterator": {

"StartAt": "AccountInitialTask",

"States": {

"AccountInitialTask": {

"Type": "Task",

"Resource": "arn:aws:lambda:us-east-2:000000000000:function:account-initialize",

"End": true

}

"End": true

}

TypeはMapにするとのこと。
InputPathでこのステートに渡す情報、というのは他のステートと同じですね。
配列処理するの対象がItemsPathですね。
Iteratorに配列処理をするStatesを書いていきます。
他に使ってませんが、MaxConcurrencyというのがあって、この配列処理の同時実行数を制御できます。
今回は最大でも30そこそこなので、一気にやってもらいます。

ステートマシン開始時の入力には、アカウントの配列を渡します。

出来ました。

Lambda関数

こちら[Lambdaでクロスアカウント] Lambda 関数で AssumeRole して他の AWS アカウントのリソースにアクセスするでやりたいことがそのまま過不足なく実現できましたので、参考というよりそのまま使わせていただきました。

ランタイム : Python 3.8

IAMロールのポリシーはstsのAssumeRoleを許可してます。
対象のアカウントは変動するかもなのでワイルドカードにしています。
これと、いつものAWS管理ポリシーの「AWSLambdaBasicExecutionRole」もCloudWatchLogsにログを出力するためにアタッチしています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": "sts:AssumeRole",

"Resource": "*"

}

]

}

対象のアカウントのロール側の信頼ポリシーでは、Lamda関数を実行するアカウントを許可しています。

ソースコード
繰り返しますが、[Lambdaでクロスアカウント] Lambda 関数で AssumeRole して他の AWS アカウントのリソースにアクセスするをそのまま使っております。

import logging
import boto3
import json
import os
from boto3.session import Session

logger = logging.getLogger()
logger.setLevel(logging.INFO)

role_name = os.getenv('role_name', '')
region = os.getenv('region', '')
user_name = os.getenv('user_name', '')

def sts_assume_role(account_id):
    role_arn = "arn:aws:iam::{account_id}:role/{role_name}".format(
        account_id=account_id,
        role_name=role_name
    )
    session_name = "session"

    client = boto3.client('sts')

    response = client.assume_role(
        RoleArn=role_arn,
        RoleSessionName=session_name
    )

    session = Session(
        aws_access_key_id=response['Credentials']['AccessKeyId'],
        aws_secret_access_key=response['Credentials']['SecretAccessKey'],
        aws_session_token=response['Credentials']['SessionToken'],
        region_name=region
    )

    return session


def lambda_handler(event, context):
    logger.info(event)
    session = sts_assume_role(event)

    s3 = session.client('s3')
    buckets = s3.list_buckets()
    logger.info(buckets)

    return {
        'statusCode': 200,
        'body': buckets['Buckets'][0]['Name']
    }