チュートリアル: Amazon VPC の MemoryDB にアクセスする Lambda 関数の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

このチュートリアルの学習内容は次のとおりです。

ステップ 1: クラスターを作成する

クラスターを作成するには、次のステップに従います。

クラスターを作成する

このステップでは、 AWS Command Line Interface (CLI) を使用して、アカウントの us-east-1 リージョンのデフォルトの Amazon VPC にクラスターを作成します。MemoryDB コンソールまたは API を使用してクラスターを作成する方法については、「ステップ 2: クラスターを作成する」を参照してください。

aws memorydb create-cluster --cluster-name cluster-01 --engine-version 7.0 --acl-name open-access \
--description "MemoryDB IAM auth application" \
--node-type db.r6g.large

[ステータス] フィールドの値が CREATING に設定されていることに注意してください。MemoryDB がクラスターの作成を完了するまで、数分かかる場合があります。

クラスターエンドポイントのコピー

describe-clusters コマンドを使用して MemoryDB がクラスターの作成を完了したことを確認します。

aws memorydb describe-clusters \
--cluster-name cluster-01 

出力に表示されたクラスターエンドポイントアドレスをコピーします。Lambda 関数のデプロイパッケージを作成するときに、このアドレスが必要になります。

IAM ロールを作成する

アクセスコントロールリスト (ACL) を作成します

ステップ 2: Lambda 関数を作成する

Lambda 関数を作成するには、以下の手順を実行します。

デプロイパッケージの作成

このチュートリアルでは、Lambda 関数のコード例を Python で示します。

Python

次の例の Python コードでは、MemoryDB クラスターに対して項目の読み取り/書き込みを行います。コードを app.py という名前のファイルに保存します。コード内の cluster_endpoint 値を、ステップ 1 でコピーしたエンドポイントアドレスに必ず置き換えてください。

from typing import Tuple, Union
from urllib.parse import ParseResult, urlencode, urlunparse

import botocore.session
import redis
from botocore.model import ServiceId
from botocore.signers import RequestSigner
from cachetools import TTLCache, cached
import uuid

class MemoryDBIAMProvider(redis.CredentialProvider):
    def __init__(self, user, cluster_name, region="us-east-1"):
        self.user = user
        self.cluster_name = cluster_name
        self.region = region

        session = botocore.session.get_session()
        self.request_signer = RequestSigner(
            ServiceId("memorydb"),
            self.region,
            "memorydb",
            "v4",
            session.get_credentials(),
            session.get_component("event_emitter"),
        )

    # Generated IAM tokens are valid for 15 minutes
    @cached(cache=TTLCache(maxsize=128, ttl=900))
    def get_credentials(self) -> Union[Tuple[str], Tuple[str, str]]:
        query_params = {"Action": "connect", "User": self.user}
        
        url = urlunparse(
            ParseResult(
                scheme="https",
                netloc=self.cluster_name,
                path="/",
                query=urlencode(query_params),
                params="",
                fragment="",
            )
        )
        signed_url = self.request_signer.generate_presigned_url(
            {"method": "GET", "url": url, "body": {}, "headers": {}, "context": {}},
            operation_name="connect",
            expires_in=900,
            region_name=self.region,
        )
        # RequestSigner only seems to work if the URL has a protocol, but
        # MemoryDB only accepts the URL without a protocol
        # So strip it off the signed URL before returning
        return (self.user, signed_url.removeprefix("https://"))

def lambda_handler(event, context):
    username = "iam-user-01" # replace with your user id
    cluster_name = "cluster-01" # replace with your cache name
    cluster_endpoint = "clustercfg.cluster-01.xxxxxx.memorydb.us-east-1.amazonaws.com" # replace with your cluster endpoint
    creds_provider = MemoryDBIAMProvider(user=username, cluster_name=cluster_name)
    redis_client = redis.Redis(host=cluster_endpoint, port=6379, credential_provider=creds_provider, ssl=True, ssl_cert_reqs="none")
    
    key='uuid'
    # create a random UUID - this will be the sample element we add to the cluster
    uuid_in = uuid.uuid4().hex
    redis_client.set(key, uuid_in)
    result = redis_client.get(key)
    decoded_result = result.decode("utf-8")
    # check the retrieved item matches the item added to the cluster and print
    # the results
    if decoded_result == uuid_in:
        print(f"Success: Inserted {uuid_in}. Fetched {decoded_result} from MemoryDB.")
    else:
        raise Exception(f"Bad value retrieved. Expected {uuid_in}, got {decoded_result}")
        
    return "Fetched value from MemoryDB"

このコードは Python redis-py ライブラリを使用してアイテムをクラスターに格納し、取得します。このコードでは、cachetools を使用して、生成された IAM 認証トークンを 15 分間キャッシュします。redis-py および cachetools を含むデプロイパッケージを作成するには、次のステップを実行します。

app.py ソースコードファイルを含むプロジェクトディレクトリに、redis-py および cachetools ライブラリをインストールするフォルダを作成します。

mkdir package

pip を使用して redis-py および cachetools をインストールします。

pip install --target ./package redis
pip install --target ./package cachetools

redis-py および cachetools ライブラリを含む zip ファイルを作成します。Linux および MacOS では、次のコマンドを実行します。Windows では、任意の zip ユーティティを使用して、redis-py および cachetools ライブラリをルートに置く .zip ファイルを作成します。

cd package
zip -r ../my_deployment_package.zip .

.zip ファイルに関数コードを追加します。Linux および macOS では、次のコマンドを実行します。Windows では、任意の zip ユーティリティを使用して .zip ファイルのルートに app.py を追加します。

cd ..
zip my_deployment_package.zip app.py

IAM ロール (実行ロール) を作成します

という名前 AWS の管理ポリシーをロールAWSLambdaVPCAccessExecutionRoleにアタッチします。

aws iam attach-role-policy \
 --role-name "memorydb-iam-auth-app" \
 --policy-arn "arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole"

デプロイパッケージをアップロードします (Lambda 関数を作成する)

このステップでは、create-function AWS CLI コマンドを使用して Lambda 関数 (AccessMemoryDB) を作成します。

デプロイパッケージの.zip ファイルを含むプロジェクトディレクトリから、次の Lambda CLI create-function コマンドを実行します。

ロールのオプションには、前のステップで作成した実行ロールの ARN を使用します。vpc-config には、デフォルト VPC のサブネットとデフォルト VPC のセキュリティグループ ID をカンマで区切ったリストを入力します。これらの値は Amazon VPC コンソール にあります。デフォルトの VPC のサブネットを検索するには、VPCs を選択し、 AWS アカウントのデフォルト VPC を選択します。この VPC のセキュリティグループを確認するには、[セキュリティ] に移動して [セキュリティグループ] を選択します。us-east-1 リージョンが選択されていることを確認します。

aws lambda create-function \
--function-name AccessMemoryDB  \
--region us-east-1 \
--zip-file fileb://my_deployment_package.zip \
--role arn:aws:iam::123456789012:role/memorydb-iam-auth-app \
--handler app.lambda_handler \
--runtime python3.12  \
--timeout 30 \
--vpc-config SubnetIds=comma-separated-vpc-subnet-ids,SecurityGroupIds=default-security-group-id

ステップ 3: Lambda 関数をテストする

このステップでは、invoke コマンドを使用して Lambda 関数を手動で呼び出します。Lambda 関数を実行すると、UUID が生成され、Lambda コードで指定した ElastiCache キャッシュにその UUID が書き込まれます。次に、Lambda 関数はキャッシュから項目を取得します。

ステップ 4: クリーンアップする (オプション)

クリーンアップするには、以下の手順を実行します。

Lambda 関数を削除する

aws lambda delete-function \
 --function-name AccessMemoryDB 

MemoryDB クラスターの削除

クラスターを削除します。

aws memorydb delete-cluster \
 --cluster-name cluster-01 

ユーザーと ACL を削除します。

aws memorydb delete-user \
 --user-id iam-user-01

aws memorydb delete-acl \
 --acl-name iam-acl-01

IAM ロールとポリシーを削除する

aws iam detach-role-policy \
 --role-name "memorydb-iam-auth-app" \
 --policy-arn "arn:aws:iam::123456789012:policy/memorydb-allow-all"
 
aws iam detach-role-policy \
--role-name "memorydb-iam-auth-app" \
--policy-arn "arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole"
 
aws iam delete-role \
 --role-name "memorydb-iam-auth-app"
  
 aws iam delete-policy \
  --policy-arn "arn:aws:iam::123456789012:policy/memorydb-allow-all"