[アップデート] AWS SAM Connector がリソース属性として定義出来るようになり、読みやすくなりました
いわさです。
AWS SAM ではリソースの実行ポリシーなどの記述を簡略化出来る SAM Connector という機能があり、以前紹介させて頂きました。
本日こちらに関連した次のアップデートがあり、SAM Connector を定義する際に新しい方法が使えるようになっています。
別の SAM リソースではなく、ソースリソースの属性としてインラインで定義出来るように
例えば Lambda から SNS トピックへメッセージを送信する場合だと、Lambda へ SNS への送信許可ポリシーを与えてやる必要があります。
以前までは SAM Connector を使って以下のように定義することが出来ました。ハイライト部分です。
AWSTemplateFormatVersion: '2010-09-09' Transform: AWS::Serverless-2016-10-31 Description: --- Resources: HogeFunction: Type: AWS::Serverless::Function Properties: Runtime: python3.9 Handler: index.lambda_handler InlineCode: !Sub | import boto3 client = boto3.client('sns') def lambda_handler(event, context): params = { 'TopicArn': '${HogeTopic}', 'Message': 'hoge message from lambda' } client.publish(**params) MemorySize: 128 Timeout: 100 Architectures: - x86_64 Policies: - AWSLambdaBasicExecutionRole HogeTopic: Type: AWS::SNS::Topic HogeConnector: Type: AWS::Serverless::Connector Properties: Source: Id: HogeFunction Destination: Id: HogeTopic Permissions: - Write
これでカスタムマネージドポリシーが作成されて Lambda の実行ロールにアタッチされます。
この時点で抽象化されているので個人的には最高なのですが、言われてみれば確かに Lambda 関数とちょっと離れて定義してあるので、コードを読む際などにはひとつコンテキストが増えるような印象があります。
今回のアップデートによって次のように、ソースリソースの Connectors プロパティ内に定義することが出来るようになりました。
コネクター内の記述方法は以前と同じですが、Source プロパティは対象リソースになるので記述が不要になっています。
AWSTemplateFormatVersion: '2010-09-09' Transform: AWS::Serverless-2016-10-31 Description: --- Resources: HogeFunction: Type: AWS::Serverless::Function Connectors: HogeConnector: Properties: Destination: Id: HogeTopic Permissions: - Write Properties: Runtime: python3.9 Handler: index.lambda_handler InlineCode: !Sub | import boto3 client = boto3.client('sns') def lambda_handler(event, context): params = { 'TopicArn': '${HogeTopic}', 'Message': 'hoge message from lambda' } client.publish(**params) MemorySize: 128 Timeout: 100 Architectures: - x86_64 Policies: - AWSLambdaBasicExecutionRole HogeTopic: Type: AWS::SNS::Topic
IAM ロールやセキュリティグループなどで、個別のルールやポリシーをインラインで定義するべきか否かみたいなところはあると思いますが、SAM の場合は AWS リソースに対する抽象化度合いが良い感じなのが良い点のひとつだと思っています。
例えば詳細な設定の API Gateway とかを CloudFormation で定義すると様々なリソースを組み合わせる必要があって少し苦労しますが SAM だと楽に定義出来る上に後からコードを読んでもスタック全体の構造が直感的に理解しやすいです。
ちなみに作成されるリソースとしては以前と変わらず、カスタムマネージドポリシーが Lambda 実行ロールにアタッチされています。
今回リソース内に定義出来るので関係するリソースが増えても、例えば次のようにトピックが増えたとしても Connectors 内にまとまるので、コード見るだけでポリシーとして網羅されてるのかもすぐわかるようになりましたね。
AWSTemplateFormatVersion: '2010-09-09' Transform: AWS::Serverless-2016-10-31 Description: --- Resources: HogeFunction: Type: AWS::Serverless::Function Connectors: HogeConnector: Properties: Destination: Id: HogeTopic Permissions: - Write FugaConnector: Properties: Destination: Id: FugaTopic Permissions: - Write Properties: Runtime: python3.9 Handler: index.lambda_handler InlineCode: !Sub | import boto3 client = boto3.client('sns') def lambda_handler(event, context): params = { 'TopicArn': '${HogeTopic}', 'Message': 'hoge message from lambda' } client.publish(**params) MemorySize: 128 Timeout: 100 Architectures: - x86_64 Policies: - AWSLambdaBasicExecutionRole HogeTopic: Type: AWS::SNS::Topic FugaTopic: Type: AWS::SNS::Topic
ソース側での定義が必要
以前まではどちらかというと 2 つのリソースの間に存在するコンポーネントの位置づけという印象だったのですが、今回の機能は送信元リソース側での定義となります。
次のように送信先リソースで、以前のように Source プロパティのみを定義して試してみました。
AWSTemplateFormatVersion: '2010-09-09' Transform: AWS::Serverless-2016-10-31 Description: --- Resources: HogeFunction: Type: AWS::Serverless::Function Properties: Runtime: python3.9 Handler: index.lambda_handler InlineCode: !Sub | import boto3 client = boto3.client('sns') def lambda_handler(event, context): params = { 'TopicArn': '${HogeTopic}', 'Message': 'hoge message from lambda' } client.publish(**params) MemorySize: 128 Timeout: 100 Architectures: - x86_64 Policies: - AWSLambdaBasicExecutionRole HogeTopic: Type: AWS::SNS::Topic Connectors: HogeConnector: Type: AWS::Serverless::Connector Properties: Source: Id: HogeFunction Permissions: - Write
しかし、次のように Destination が必須というエラーが発生します。
今回の機能を使う場合は送信元リソースへの定義が必要です。
早速英語版ドキュメントも更新されていましたので、利用にあたって以下も確認頂くと良いと思います。
さいごに
本日は AWS SAM Connector がリソース属性として定義出来るようになったので使ってみました。
地味ですが使い勝手が良くなりそうで、私は嬉しいですね。
利用はオプションで、従来のようにコネクターリソースを分けたりあるいはポリシーで直接記述する使い方も引き続き出来るので、気の向いた時にでも使ってみてください。