投稿日

SORACOM FunkがIAMロール認証情報に対応、AWSのベストプラクティスに沿ったAWS Lambdaの実行が可能となりました

みなさま、こんにちは。Project Managerの岡本です。

この度、SORACOM FunkでAWS Lambdaの実行に必要な認証情報に、IAMロールを指定できる機能を追加いたしました。

SORACOM Funk(ファンク)とは、IoTデバイスからクラウド上の関数実行を中継するサービスです。例えば、IoTボタンを押したらAWS Lambdaで作成した関数を実行する仕組みを、簡単に構築いただけます。

これまでAWS Lambda実行時の認証情報には、IAM ユーザーを利用する方式を提供していました。これは、AWS アクセスキーシークレットアクセスキをAWS上で発行してSORACOMに登録いただく方式で、ユーザーやキーをお客様が管理する必要があり、運用負荷がかかっておりました。

今回新たに対応したのが、IAM ロールを利用する方式です。AWS上でIAMロールを作成してSORACOMに登録いただく方式で、お客様が管理する情報が減るメリットが有り、また、AWSからもベストプラクティスとして紹介されています。

今後もIAMユーザーを利用する方式は利用いただけますが、IAMロールを利用する方式を強く推奨いたします。既存のSORACOM Funkに設定済みの認証情報も、IAMロールを利用した方式へ簡単に切り替えていただけますので、併せて紹介いたします。

認証情報の利用手順

事前準備

今回は、AWS Lambda を実行し Slack へ通知すると同じくAWS Lambda経由でSlackに通知することを想定していますので、AWS Lambdaの作成までは完了していることとします。

  • ステップ 1: Slack を設定する。
  • ステップ 2: AWS Lambda を設定する。

AWSの設定

実行するAWS Lambda の AWS アカウントにログインし、SORACOM プラットフォームから実行を許可するためのロールを作成します。

  1. IAM サービスへ移動し、ロールを作成します。
  2. ロールの作成
    1. 指定されたエンティティの種類を選択では、別のAWSアカウントを選択します。
    2. アカウントIDを入力します。SIMグループのカバレッジに応じて以下のとおり入力します。
      • 日本カバレッジ: 762707677580
      • グローバルカバレッジ: 950858143650
    3. 外部IDを入力します。任意の文字列を指定します。外部IDは認証情報ストアに認証情報を登録する際に指定しますので、メモをしておいてください。外部IDの詳細は、AWSの以下のサイトをご覧ください。
      https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html
    4. 次のステップに進み、Lambdaの実行(lambda:InvokeFunction)を許可するポリシーをアタッチ、もしくは新規作成してアタッチしてロールを作成します。作成が完了したら、外部IDと同じく、利用するので、IAMロールのARNをメモしておいてください。

ユーザーコンソールの設定

AWSの設定が完了したら、ユーザーコンソールの設定を行います。

  1. 右上のメニューをクリックして、セキュリティを選択してください。
  2. 左側のタブで認証情報ストアを選択して、認証情報を登録ボタンを選択します。
  3. 認証情報を登録します。
    1. 認証情報IDを入力します。認証情報の名称となりますので、わかりやすい文字列を指定してください。
    2. 種別は、AWS IAM ロール認証情報を指定してください。
    3. ロールARNには、先程メモしたIAM ロールのARNを入力します。
    4. 外部IDには、先程メモした外部IDを入力します。
    5. 最後に、登録ボタンを選択すると、認証情報が登録されます。

SORACOM Funkの設定

SORACOM Funkの設定をします。

  1. Funkの設定をONにします。
  2. サービスには、AWS Lambdaを選択します。
  3. 関数のARNには、AWS LambdaのARNを入力します。
  4. 認証情報ストアで登録した、認証情報IDを選択します。
  5. 送信データ形式を選択します。

SORACOM Funkの実行

SORACOM Funk経由でAWS Lambdaを実行します。

$ curl -v -X POST -H "content-type:application/json" -d "{\"hello\": \"funk\"}" http://uni.soracom.io

IAMユーザーからIAMロールの認証情報への移行

既にIAMユーザーの認証情報を利用してSORACOM Funkを利用されている場合、IAM ロールの認証情報に移行する方法は簡単です。

  1. IAMユーザーで利用しているAWS Lambda ARNを使用して、IAMロールを作成します。
  2. 認証情報ストアに作成したIAMロールを作成します。
  3. SORACOM Funk設定画面で、認証情報を手順2で作成した認証情報IDを指定します。

以上でIAMユーザの認証情報を用いた方法から、IAMロールの認証情報を用いた方法への移行が可能です。

まとめ

以上で、IAM ロールの認証情報を利用したSORACOM FunkでのAWS Lambdaの実行手順となります。
IAM ロールを利用することで、アクセスキーやシークレットキーの管理をせずに管理運用面での負担を削減できるようになると思いますので、ぜひご利用ください。

ソラコム 岡本(kiyo)