メモ:暗号化済みのEBSボリュームをアタッチしたEC2インスタンスをLambdaから起動したいときはロール設定が必要です。

メモ:暗号化済みのEBSボリュームをアタッチしたEC2インスタンスをLambdaから起動したいときはロール設定が必要です。

#AWS KMS
#Amazon EC2
#AWS Lambda
#AWS Key Management Service(KMS)
#AWS
hanse

hanse

facebook logohatena logotwitter logo
Clock Icon2017.10.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ベルリンの半瀬です。

はじめに

暗号化済みのEBSボリュームをアタッチしたEC2インスタンスをLambda Function経由で起動できないというお問い合わせがありました。
Lambda経由で実行する際には、暗号化ボリュームを作成したキーの「Key Users」にLambda実行用ロールを追加しておく必要があります(完)。
理由はこちら:[KMS] EBS暗号化によるEC2操作への影響を調べてみた

以下、チェック時の履歴。

確認内容

ロール作成

Ec2FullAccess(今回はstartできればよい)でlambda用のロールを準備。
20171029-01

IAMでEncryption keyを準備

EBSの暗号化に使用します。
20171029-02

Key Usageに前項で作成したロールを指定。Administorative Permissionの割り当ては不要。
20171029-03

Lambda実行確認

上で作成したロールを指定して関数を作成。
20171029-04

起動用スクリプト。
20171029-05

Key Usersにロール登録がない場合の起動失敗表示

State Transition Reason に「Server.InternalError」、
State Transition reason Message に「Client.InternalError: Client error on launch」がエラー表示されます。
20171029-06

さいごに

動作チェックのメモでした。
同じエラーを見る人に届け。

※ 関連記事
【新機能】EBSのブートボリュームが暗号化できるように

ではまた

Share this article

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
หมดกังวลกับการใช้คลาวด์! เข้าใจหลักความปลอดภัยและความรับผิดชอบในการใช้งาน

หมดกังวลกับการใช้คลาวด์! เข้าใจหลักความปลอดภัยและความรับผิดชอบในการใช้งาน

User avatar
SamindaSansaiya
2024.10.18
S3 のクロスアカウントレプリケーションでダウンロード時の kms:Decrypt のエラーを回避するには

S3 のクロスアカウントレプリケーションでダウンロード時の kms:Decrypt のエラーを回避するには

User avatar
hato
2024.09.11
TiDB CloudにてAWS KMSキーを使用した暗号化であるCMEKを使ってみた

TiDB CloudにてAWS KMSキーを使用した暗号化であるCMEKを使ってみた

User avatar
sora
2024.08.30
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.