Lambda 関数を利用して暗号化 EBS を使用する EC2 インスタンスが起動できない場合の対処法

Lambda 関数を利用して暗号化 EBS を使用する EC2 インスタンスが起動できない場合の対処法

Folder Icon
AWSテクニカルサポートノート
#AWS
#Amazon EC2
#AWS Lambda
#AWS KMS
#Amazon EBS
片方 裕人

片方 裕人

facebook logohatena logotwitter logo
Clock Icon2025.01.20

困っていること

EC2 インスタンスの起動を Lambda 関数で自動化しようとしたところ、起動に失敗します。
なお、Lambada 関数は成功しておりエラーは見受けられません。対処法を教えてください。

どう対応すればいいの?

起動予定の EC2 インスタンスにアタッチしている EBS が KMS (CMK) で暗号化されているかご確認ください。
また、CloudTrail で該当 Lambda 関数実行日時を調査してください。
以下のようにイベント名 CreateGrant で AccessDenied エラーが発生していることが想定されます。

※ 一部マスクします

    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "ap-northeast-1",
    "sourceIPAddress": "ec2-frontend-api.amazonaws.com",
    "userAgent": "ec2-frontend-api.amazonaws.com",
    "errorCode": "AccessDenied",
    "errorMessage": "User: arn:aws:sts::xxxxxxxxxxx:assumed-role/Test-role-xxxxxxx/Test-Lambda is not authorized to perform: kms:CreateGrant on resource: arn:aws:kms:ap-northeast-1:xxxxxxxxxxxx:key/43210987-9999-7777-xxxx-f42aaaaaaaaa because no identity-based policy allows the kms:CreateGrant action",
    "requestParameters": null,

上記のように、カスタマーマネージドキー(CMK)を使用している場合、対象 Lambda 関数にアタッチしているロールに以下のポリシーを追加してください。
ポリシー追加後、想定通りに EC2 インスタンスが起動可能かお試しください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant"
            ],
            "Resource": "*"
        }
    ]
}

※ 適宜修正してください
"Resource"句には、EBS 暗号化に使用している CMK の ARN を記述することをお勧めします。

01111

参考資料

EC2 インスタンスを起動するための IAM と KMS の許可の問題をトラブルシューティングする | AWS re:Post

Share this article

facebook logohatena logotwitter logo

関連記事

Toranomon Tech Hub#2「Amazon Route 53, 待ちに待った TLSAレコードのサポート開始」というタイトルで登壇しました

Toranomon Tech Hub#2「Amazon Route 53, 待ちに待った TLSAレコードのサポート開始」というタイトルで登壇しました

User avatar
中村 健一
2025.01.20
RDS Data API 経由で Aurora PostgreSQL の Row Level Security (RLS) を使う

RDS Data API 経由で Aurora PostgreSQL の Row Level Security (RLS) を使う

User avatar
いわさ
2025.01.20
JAWS-UG 横浜 re:Invent 2024 re:Cap Serverless なのにセキュリティのアップデートを話してきました #jawsug #jawsugyokohama

JAWS-UG 横浜 re:Invent 2024 re:Cap Serverless なのにセキュリティのアップデートを話してきました #jawsug #jawsugyokohama

AWS Security Hub中央設定のポリシー適用範囲と制限事項を確認してみた

AWS Security Hub中央設定のポリシー適用範囲と制限事項を確認してみた

User avatar
鈴木純
2025.01.20
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.