次のリソースを使用してテンプレートをデプロイすると、AWS CloudFormation スタックの作成が失敗します。

  1. AWS Lambda 関数リソース。
  2. Lambda 関数を参照する NotificationConfiguration プロパティを持つ Amazon S3 バケット リソース。
  3. Lambda 関数と S3 バケットに一致する FunctionNameSourceArn プロパティを持つ Lambda のアクセス許可 リソース。
    注意: S3 Amazon リソース名 (ARN) にはアカウント ID が含まれていないため、S3 イベントソースの Lambda アクセス許可リソースに SourceAccount プロパティを追加することをお勧めします。SourceArn プロパティは他のほとんどのイベントソースに適していますが、S3 イベントソースの SourceAccount プロパティを追加し、他の誰かがバケットを再作成したことを確認するためだけにバケットを削除するシナリオを防御することを検討して、バケットの新しい所有者に Lambda 関数を呼び出すための完全な権限を与えます。

スタックの作成に失敗すると、次のようなエラーが発生します。

Unable to validate the following destination configurations

バケットを作成する際は、S3 はバケットが Lambda 関数にイベントをプッシュするアクセス許可を持っているかどうかを確認することによって通知設定を検証する必要があります。アクセス許可リソース (このチェックに合格するために必要) は、バケット名を必要とします。したがって、アクセス許可リソースはバケットに依存し、バケットはアクセス権限リソースに依存します。

注意: 次のような DependsOn リソース属性を実装してこの問題を解決しようとすると、エラーが発生します。

"MyS3BucketPermission": {
  "Properties": {
    "Action": "lambda:InvokeFunction",
    ...
    ...
    "SourceArn": {
      "Ref": "MyS3Bucket"
    }
  },
  "Type": "AWS::Lambda::Permission"
},
"Resources": {
  "MyS3Bucket": {
    "DependsOn" : "MyS3BucketPermission",

DependsOn リソース属性エラー:

Circular dependency between resources

この例では、どちらも存在しない場合は、一方だけでは他方を作成できないため、S3 バケットリソースと Lambda アクセス許可リソースの SourceArn プロパティとの間に循環依存が存在します。

この問題が発生した場合は、Fn::Join 組み込み関数とスタックパラメータを使用して循環依存を回避できます。

バケット名「BucketPrefix」が「AWS::S3::Bucket」および「AWS::Lambda::Permission」リソースへのパラメータとして提供されているこのサンプルテンプレートを検討してください。

注意: この例では、以前に AWS アカウントでバケット名が使用されていなかったと仮定しています。このコードスニペットでテンプレートを再利用する場合は、毎回別のバケットプレフィックスを指定する必要があります。

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "BucketPrefix": {
      "Type": "String",
      "Default": "test-bucket-name"
    }
  },
  "Resources": {
    "EncryptionServiceBucket": {
      "DependsOn": "LambdaInvokePermission",
      "Type": "AWS::S3::Bucket",
      "Properties": {
        "BucketName": {
          "Fn::Sub": "${BucketPrefix}-encryption-service"
        },
        "NotificationConfiguration": {
          "LambdaConfigurations": [
            {
              "Function": {
                "Fn::GetAtt": [
                  "AppendItemToListFunction",
                  "Arn"
                ]
              },
              "Event": "s3:ObjectCreated:*",
              "Filter": {
                "S3Key": {
                  "Rules": [
                    {
                      "Name": "suffix",
                      "Value": "zip"
                    }
                  ]
                }
              }
            }
          ]
        }
      }
    },
    "LambdaInvokePermission": {
      "Type": "AWS::Lambda::Permission",
      "Properties": {
        "FunctionName": {
          "Fn::GetAtt": [
            "AppendItemToListFunction",
            "Arn"
          ]
        },
        "Action": "lambda:InvokeFunction",
        "Principal": "s3.amazonaws.com",
        "SourceAccount": {
          "Ref": "AWS::AccountId"
        },
        "SourceArn": {
          "Fn::Join": [
            "",
            [
              "arn:aws:s3:::",
              {
                "Fn::Sub": "${BucketPrefix}-encryption-service"
              }
            ]
          ]
        }
      }
    },
    "AppendItemToListFunction": {
      "Type": "AWS::Lambda::Function",
      "Properties": {
        "Handler": "index.handler",
        "Role": {
          "Fn::GetAtt": [
            "LambdaExecutionRole",
            "Arn"
          ]
        },
        "Code": {
          "ZipFile": {
            "Fn::Join": [
              "",
              [
                "var response = require('cfn-response');",
                "exports.handler = function(event, context) {",
                " var responseData = {Value: event.ResourceProperties.List};",
                " responseData.Value.push(event.ResourceProperties.AppendedItem);",
                " response.send(event, context, response.SUCCESS, responseData);",
                "};"
              ]
            ]
          }
        },
        "Runtime": "nodejs4.3"
      }
    },
    "LambdaExecutionRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Effect": "Allow",
              "Principal": {
                "Service": [
                  "lambda.amazonaws.com"
                ]
              },
              "Action": [
                "sts:AssumeRole"
              ]
            }
          ]
        },
        "Path": "/",
        "Policies": [
          {
            "PolicyName": "root",
            "PolicyDocument": {
              "Version": "2012-10-17",
              "Statement": [
                {
                  "Effect": "Allow",
                  "Action": [
                    "logs:*"
                  ],
                  "Resource": "arn:aws:logs:*:*:*"
                }
              ]
            }
          }
        ]
      }
    }
  }
}

これは次の順序でリソースを作成するため、循環依存を回避します。

  1. IAM ロール
  2. Lambda 関数
  3. Lambda アクセス許可
  4. S3 バケット

このアプローチにより、S3 は通知設定を確認し、何の問題もなくバケットを作成することができます。

その他の回避策としては次のようなものがあります:

  • 通知設定なしでバケットを作成し、次のスタック更新で追加します。
  • 制約の少ない Lambda アクセス許可を作成します。たとえば、SourceArn を省略して、特定の AWS アカウントに対して呼び出しを許可します。
  • スタックワークフローの最後に実行するカスタムリソースを作成します。このリソースは、他のすべてのリソースが作成された後で通知設定をバケットに追加します。

このページは役に立ちましたか? はい | いいえ

AWS サポート ナレッジ センターに戻る

サポートが必要ですか? AWS サポートセンターをご覧ください。

公開日: 2017 年 10 月 03 日

更新日: 2018 年 09 月 06 日