エンジニアの志村です。

先日AWS Summit Tokyo2016に2日間行ってきました。

今サミットではLambdaを用いたサーバレスアーキテクチャ、またKinesisを利用したリアルタイムストリーミング解析の話題が中心でした。

Lambdaは少々前から興味があったにも関わらず、実務で使用したことが無かったのでタイトルのようなものを実装してみました。

リクルートさんがやっていたのを真似て、今回は、Lambdaのcloudwatch-alarm-to-slack-pythonというBlueprintを使用し、Pythonにて実装しています。

サーバーワークスさんのブログを参考にさせて頂きました。

ゴール

下記のような通知を、毎日朝10時にSlackに流すようにします。

やること

下記のような流れで実装を進めていきます。

1. Slack APIのIncoming Webhooksの設定

2. IAMのKMSを用いてIncomig WebhooksのURLを暗号化

3. cloudwatch-alarm-to-slack-pythonというBlueprintを使用し、Lambdaファンクションを作成

4. Lambdaで作成したロールにCloudwatchに対する権限を付与

5. Lambdaが起動するトリガーを設定

Slack APIのIncoming Webhooksの設定

ではSlackの設定から行いましょう。

1. Slackのメニューから「App & Integrations」を選択します。

2. 下記のように「Incoming Webhooks」を入力し、選択します。

3. 自分の所属しているチームが表示されているので、該当チームの「Configure」を選択します。

4. 「Add Configration」を選択します。

5. 投稿したいチャンネルを選択します。

6. Webhook URLが必要になるので控えておきましょう。ついでにemojiも設定しちゃいましょう！（僕らはお金のemojiを設定しています）

KMSを用いてWebhook URLを暗号化する

上記で取得したURLですが、そのままLambda Functionに貼り付けて使用するのはセキュリティ上好ましくないですよね。

なのでKMSを用いて、暗号化した状態で使用しましょう。

1. AWSコンソールからIAMを選択

2. 左下に「暗号化キー」という項目があるので選択

3. エイリアスを入力します。

4. キー管理アクセス許可の定義は環境やルールに従って決めて下さい。

5. キーポリシーのプレビューで確認をし、「完了」を押す

6. 下記コマンドを使用し、暗号化を行う（AWS CLIが必要になります。）

$ aws kms encrypt --key-id alias/先ほど設定したエイリアス --plaintext "先ほど取得したWebhook URL"

$ aws kms encrypt --key-id alias/先ほど設定したエイリアス --plaintext "先ほど取得したWebhook URL"

上記を実行すると、暗号化されたURLとARNというものが表示されます。こちらは **Lambda Functionで使用するのでコピーしておきましょう。**

cloudwatch-alarm-to-slack-pythonというBlueprintを使用し、Lambdaファンクションを作成

さて、いよいよLambdaの方に入っていきます！

1. 「バージニア北部」リージョンを選択

2. AWSコンソールからLambdaを選択

3. Create Functionを選択

4. 「Select blueprint」という画面が出てくるので「cloudwatch-alarm-to-slack-python」というBlueprintを選択

5. Configure Event Sourcesはスキップ（後で設定します）

6. Lambda Functionのページに飛びます。ENCRYPTED_URLには先ほど暗号化したURLを、SLACK_CHANNELにはIncoming Webhookで設定したチャンネルを入力しましょう。

最終的なコードは下記のようになりました。

※ # -*- coding: utf-8 -*-を宣言してあげないと、encodingのエラーが出て、lambdaが正しく動作しないので注意して下さい。

6. Name, Descriptionを入力　Runtimeは今回Python2.7を選択

7. Cloudwatchから情報を得る権限が必要なので、Roleから「Basic execution role」を選択

8. IAMロールは「新しいIAMロールを作成」　好きなロール名を入力し、「許可」を選択

9. 他の値はそのままで良いので「Next」を選択

10. 内容を確認し、「Create Function」を押す

Lambdaで作成したロールにCloudwatchに対する権限を付与

先ほどLambda内で作成したロールに対し、Cloudwatchの情報を得ることが出来る権限を付与する必要があります。

1. AWSコンソールからIAMを選択

2. 「ロール」を選択

3. 先ほど作成したロールを選択する

4. 「ポリシーのアタッチ」をクリックし、「CloudWatchReadOnlyAccess」をアタッチ

Lambdaが起動するトリガーを設定

さて、いよいよ最後です！

1. AWSコンソールからLambdaを選択

2. 先ほど作成したFunctionを選択

3. 「Event Sources」タブをクリックし、「Add event source」を選択

4. Event source typeの選択画面が出る　今回は時間指定でSlack通知を行いたいので「CloudWatch Events - Schedule」を選択

5. 「Rule name」には好きな名前を、「Schedule expression」にcron式を入力

今回「毎日朝10時に通知をする」ので下記のような式になります。
※ UTCで設定を行う必要があるので注意して下さい。

cron式についてはこちらを参照して下さい。

こんな感じです。あっさりと出来ました！
初めてLambdaを使用しましたが、様々なイベントを感知して、AWSのサービスを自由に動かすことが出来るので工夫次第でもっと大きなことが出来そうです！