[Python] moto v5ではIAM管理ポリシーはデフォルトでロードされない

[Python] moto v5ではIAM管理ポリシーはデフォルトでロードされない

Boto3のモックライブラリmotoのバージョンアップをしたところ少しハマったので紹介します。
#Boto3
#Python
#pytest
武田隆志

武田隆志

facebook logohatena logotwitter logo
Clock Icon2024.02.29

こんにちは。サービス開発室の武田です。

私が開発しているプロダクトではPythonのユニットテストにmotoを使用しています。motoはPythonのAWS SDKであるboto3のモックライブラリです。ユニットテストを実行するにあたって、実際にAWS上にリソースを作成してしまうと料金もかかりますし、ネットワーク起因など直接関係ないところでエラーが発生してしまう可能性があります。motoを使用することでそういった環境依存を排除してユニットテストを実施できます。

これまでmotoのやや古いバージョンを使用していたのですが、一気に最新であるv5.0.1まで上げることにしました(執筆時点での最新は5.0.2)。その際に、これまで通っていたIAM関係のテストが失敗するようになりました。具体的には次のエラーメッセージが出ました。

botocore.errorfactory.NoSuchEntityException: An error occurred (NoSuchEntity) when calling the AttachRolePolicy operation: Policy arn:aws:iam::aws:policy/ReadOnlyAccess does not exist or is not attachable.

このエラーメッセージは、IAMの管理ポリシー(ここではReadOnlyAccess)が見つからないといっています。

原因はAWS管理ポリシーがデフォルトではロードされなくなったためです。次の2つのいずれかを実施すれば解決します。

  • デコレーターにロードを指示する
    • @mock_aws(config={"iam": {"load_aws_managed_policies": True}})
  • 環境変数でロードを指示する
    • MOTO_IAM_LOAD_MANAGED_POLICIES=true

確認してみる

実行環境は次のようになっています。

  • Python: 3.12
  • boto3: 1.34.51
  • pytest: 8.0.2
  • moto: 5.0.2

動作確認はシンプルなコードで確認できます。まずはpoetryを使ったプロジェクトを作成します(pipenvでもなんでもいいです)。

$ mkdir work && cd $_
$ poetry init -n
$ poetry add boto3 pytest moto

実行するテストコードを用意します。

import boto3
from moto import mock_aws

@mock_aws
def test_main():
    ROLE_NAME = "test-role"
    iam = boto3.client("iam")
    iam.create_role(RoleName=ROLE_NAME, AssumeRolePolicyDocument="{}")

<pre><code>iam.attach_role_policy(
    RoleName=ROLE_NAME,
    PolicyArn=&quot;arn:aws:iam::aws:policy/ReadOnlyAccess&quot;,
)
</code></pre>

作成したロールに対してattach_role_policyメソッドでarn:aws:iam::aws:policy/ReadOnlyAccessをアタッチしようとしています。これで一度テストを実行してみます。

$ poetry run pytest test_main.py
...
            error_class = self.exceptions.from_code(error_code)

<blockquote>
<pre><code>      raise error_class(parsed_response, operation_name)
</code></pre>
  
  E           botocore.errorfactory.NoSuchEntityException: An error occurred (NoSuchEntity) when calling the AttachRolePolicy operation: Policy arn:aws:iam::aws:policy/ReadOnlyAccess does not exist or is not attachable.
</blockquote>

.venv/lib/python3.12/site-packages/botocore/client.py:1009: NoSuchEntityException

冒頭でも紹介したエラーが出ました。ではこれを修正しましょう。

import boto3
from moto import mock_aws

@mock_aws(config={"iam": {"load_aws_managed_policies": True}})
def test_main():
    ROLE_NAME = "test-role"
    iam = boto3.client("iam")
    iam.create_role(RoleName=ROLE_NAME, AssumeRolePolicyDocument="{}")

<pre><code>iam.attach_role_policy(
    RoleName=ROLE_NAME,
    PolicyArn=&quot;arn:aws:iam::aws:policy/ReadOnlyAccess&quot;,
)
</code></pre>

変わったのは@mock_awsの部分です。これで再度テストを実行してみます。

$ poetry run pytest test_main.py

collected 1 item

test_main.py .

今度は成功しました!

まとめ

最初からきちんとCHANGELOGを読んでおけばよかったのですが、見落としていたため修正するのに時間がかかってしまいました。motoはv5からデコレーションがシンプルになった(@mock_aws付けるだけ)ためコードもすっきりします。ぜひ試してみてください。

参考URL

Share this article

facebook logohatena logotwitter logo

関連記事

CloudFrontの署名付きURL(signed URL)で、「名前をつけて保存」のファイル名を指定する

CloudFrontの署名付きURL(signed URL)で、「名前をつけて保存」のファイル名を指定する

User avatar
藤井元貴
2024.11.11
[新機能] Amazon Redshift Data APIがCSV結果フォーマットをサポートしたので試してみました

[新機能] Amazon Redshift Data APIがCSV結果フォーマットをサポートしたので試してみました

User avatar
石川覚
2024.11.03
[アップデート] Amazon S3のListBuckets APIがリージョンとバケット名のフィルタリングをサポートしました

[アップデート] Amazon S3のListBuckets APIがリージョンとバケット名のフィルタリングをサポートしました

User avatar
武田隆志
2024.10.17
DynamoDBのSet型でデータの数が0個になったとき、Attribute自体が残るか消えるか確認してみた

DynamoDBのSet型でデータの数が0個になったとき、Attribute自体が残るか消えるか確認してみた

User avatar
藤井元貴
2024.10.16
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.