今回はAWS、Pythonを使用してなにかコードを記述するときに使用するprofileの扱い方についてです。
Pythonだとboto3をしようする場面がおおいと思います。
また、AWSサービスを利用するにあたって、1人(またはチームや部署、プロジェクト)でいくつかのcredential情報をしようするかと思います。
また会社によっては、1つのプロジェクト(システム)に複数人のcredential情報を使用して、自由にw開発しちゃってる場合も...
まあそれは組織や考え方で様々ですが、boto3において柔軟にcredential情報を扱う方法をメモしていきます。
boto3とは?
簡単にPythonでAWSサービスを容易に統合できるライブラリですね。
インストールも簡単です。
$ pip install boto3 $ pip3 install boto3
ここで抑えておきたいのは、低レベル / 高レベル インターフェイスということば。
AWSによると以下の認識でいいのかなと思います。
- 低レベル: 実現したいことのために、細かい事を指定する (client)
- 高レベル: 実現したい事だけ指定する (resource)
以下の公式ドキュメントでは、AWSサービスごとに使用できるクラスが記載されています。
Available Services — Boto 3 Docs 1.9.170 documentation
本題に入ります。
boto3を使用する際、AWSのクレデンシャル情報を如何にして取得するか確認してみます。
Credentials (クレデンシャル)の設定
わたしはいつもローカルで開発する際、.aws
ディレクトリにconfigとcredentialsというファイルを置いています。
そして、そこに記述しているprofile情報をpythonに渡していたりしますが、それがベストプラクティスなのか確認したいと思います。
credential情報の取得して、他には環境変数に設定しているのを取得したり、そのままコードのべた書きしたり(よろしくないですね笑)できますかね。
AWS的にはなにを推奨しているのか、
以下のドキュメントに記載してありました。
Credentials — Boto 3 Docs 1.9.170 documentation
ちょっとまとめてみると、
boto3がcredential情報を取得しにいく優先順位として以下になるようです。
- Passing credentials as parameters in the boto.client() method
- Passing credentials as parameters when creating a Session object
- Environment variables
- Shared credential file (~/.aws/credentials)
- AWS config file (~/.aws/config)
- Assume Role provider
- Boto2 config file (/etc/boto.cfg and ~/.boto)
- Instance metadata service on an Amazon EC2 instance that has an IAM role configured.
訳:
- boto.client()メソッドで、パラメータが設定される
- Sessionオブジェクトを生成して、パラメータが設定される
- 環境変数の設定
~/.aws/credentials
での設定~/.aws/config
での設定- AssumeRoleを使用 (AWS STS)
- Boto2の
/etc/boto.cfg and ~/.boto
の設定 - IAMロールが設定されているAmazon EC2インスタンスのインスタンスメタデータサービス
ちょっとAWS STSはなるほど!ってかんじでしたが、大体予想通りの展開ですね。
ここからはチームや個人の方針に委ねられるかんじもしますが、
基本的には4や5が良さそうなかんじでしょうか。
2と4でもいけますかね。
仮にコンソール上で実行するようなものであれば、ファイル実行者に.aws/
配下に設定されているprofile情報をオプションで入力させ、権限さえあれば実行できそうです。
環境変数でも場合によっては、悪くなさそう。
AWSコンソールのLambdaのメニューからなら環境変数を簡単に入力できますね。(もちろんそれを良しとして、きちんとLambdaへの権限が設定されていたりすればですが)
まとめ
実際きちんと公式を読むと推奨されている事柄が把握できました。
どんなツールでも向き不向きがあるように、できるだけ開発者の意図に沿った使い方ができれば後の運用や保守も少しは楽になりそうですね。
意外と見落としがちな点かもしれませんが、チームや組織、プロジェクトの方針を最初にバチッと決めておくと、
メンバーがハッピー(楽)に開発できそうです!