• このエントリーをはてなブックマークに追加

AWS Lambda Pythonで複数AWSアカウントのEC2インスタンスの起動(Start)、停止(Stop)をスケジュール実行・管理するスクリプトプログラム 〜タグの値に起動時間・停止時間を指定、土日祝日を考慮〜

  • このエントリーをはてなブックマークに追加

AWS Lambda Python、Amazon API Gatewayが登場した現在、今後を考えるとEC2インスタンスの役割は次第に少なくなっていくと考えられます。
ただ、一方でAWS Lambdaでは長時間のサービス実行や自由にパッケージをインストールしたシステム構築など、その仕様上実現できないことも数多くあります。

このような状況においてEC2インスタンスは役割を特化しながら今後も必要性を維持していくと思われますが、今までも今後も度々課題として挙げられるのがEC2インスタンスの料金です。
EC2インスタンスの料金は起動させ続けるとAWSサービスの中でも比較的多くなる傾向にあります。

そのため、EC2インスタンスの利用は必要な時間に必要なだけ起動してランニングコストを少なく抑えたいものです。
EC2インスタンスの料金を低く抑えるためにはEC2インスタンスの起動(Start)、停止(Stop)をスケジュール実行・管理するスクリプトプログラムを作成することが一般的には行われている方法です。

今回は以前「日本の祝日を取得するシェルスクリプトプログラム(「山の日」対応) – カレンダーファイル(ICSファイル)で祝日の取得 〜2015年の祝日一覧、2016年の祝日一覧、2017年の祝日一覧、2018年の祝日一覧、2019年の祝日一覧、2020年の祝日一覧〜」で記載した祝日を習得するシェルスクリプトプログラムの内容も応用して、AWS Lambda Pythonで複数AWSアカウントのEC2インスタンスの起動(Start)、停止(Stop)をスケジュール実行・管理するスクリプトプログラムを備忘録として記載しておきます。

このスクリプトプログラムの大まかな処理の流れは下記のようになります。

  • 実行日が土日祝日であれば処理全体をスキップする
  • 指定された複数のAWSアカウントに対して下記を実行する
  • STSでEC2インスタンスへの実行権限を持つCredentialsを取得する
  • 指定されたタグキーを持つインスタンスを取得する
  • 指定されたタグキーに対するタグバリューが実行時刻から実行時刻の10分前の範囲にある場合に指定されたアクション(StartまたはStop)をEC2インスタンスに対して実行する

今回のEC2インスタンスの起動(Start)、停止(Stop)のスクリプトプログラムをLambdaのスケジューリング機能で10分毎に実行することでEC2インスタンスを定期的にスケジュール実行・管理することが可能になります。

今回のスクリプトプログラムの説明においてAWS Lambdaのevent JSONやIAM Roleのポリシーの例やサンプルの前提として、
LambdaでEC2インスタンス起動(Start)、停止(Stop)スクリプトプログラムを実行するAWSアカウントのアカウント番号を012345678901、
アクションを実行されるEC2インスタンスが存在するアカウントを987654321098とします。

スポンサーリンク

AWS Lambda Pythonで複数AWSアカウントのEC2インスタンスの起動(Start)、停止(Stop)をスケジュール実行・管理するスクリプトプログラム

スクリプトプログラムを実行するLambda関数に付与するRoleポリシー

Lambda関数に付与するRoleポリシー内容はCloudWatchへのログ出力、STSのAssumeRoleの呼び出しへのアクセス許可です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:*"
            ],
            "Resource": "arn:aws:logs:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

RoleはAWS LambdaのAWSサービスロールとして作成され、
Roleの信頼関係は信頼されたエンティティが「IDプロバイダー:lambda.amazonaws.com」となる必要があります。
このポリシーをRoleに適用しLambda関数に関連付けます。

アクションを実行されるEC2インスタンスが存在するAWSアカウントごとに用意するクロスアカウントRoleのポリシー

EC2インスタンスに対するアクセス許可は下記の参照、起動(Start)、停止(Stop)の権限です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Roleは所有しているAWSアカウント間のクロスアカウントアクセスのロールとして作成され、
Roleの信頼関係は信頼されたエンティティが「アカウント:012345678901(Lambdaを実行するアカウント)」となる必要があります。
このポリシーをRoleに適用し下記で説明するLambdaを実行する際のevent JSONのtarget_role_arns配列に入力します。

AWS LambdaでEC2インスタンス起動(Start)、停止(Stop)スクリプトプログラムに渡すevent JSONの内容

今回のスクリプトプログラムでは下記のようにevent JSONの内容を渡してリージョン、対象EC2インスタンスの判定条件、実行アクション、EC2インスタンスを操作するアカウントを設定します。

注意するべき点としてはtarget_role_arnsには複数のAWSアカウントのRoleを配列として渡すことができますが、AWS Lambdaの実行可能時間は5分なのでEC2インスタンスやAWSアカウントが多い場合は分けて実行する必要があることです。

  • sts_region
  • STSを実行するリージョン(AWS Lambdaのリージョン)。

  • ec2_region
  • アクションを実行するEC2のリージョン。

  • ec2_tag_key
  • アクションを実行するかどうかを判定するEC2インスタンスに設定するタグキー。
    ここで指定したタグキーを持つインスタンスを検索し、タグキーに対するタグバリューを実行時間として判定する。

  • ec2_action
  • EC2インスタンスに実行するアクション(StartまたはStop)

  • target_role_arns
  • EC2インスタンスに対するStart, Stop実行を許可するポリシーを付与したRole Arnの配列。
    ここに権限移譲した複数のAWSアカウントのRole Arnを指定することで複数のAWSのインスタンスの起動、停止をまとめてスケジュール実行・管理できる。

event JSONの例

EC2インスタンスを起動(Start)する場合の例

StartTimeタグキーを持つEC2インスタンスに対してStartTimeのタグバリューの時間で判定し起動する。

{
  "sts_region": "ap-northeast-1",
  "ec2_region": "ap-northeast-1",
  "ec2_tag_key": "StartTime",
  "ec2_action": "Start",
  "target_role_arns": [
    "arn:aws:iam::987654321098:role/assume_ec2_exec_role"
  ]
}
EC2インスタンスを停止(Stop)する場合の例

StopTimeタグキーを持つEC2インスタンスに対してStopTimeのタグバリューの時間で判定し停止する。

{
  "sts_region": "ap-northeast-1",
  "ec2_region": "ap-northeast-1",
  "ec2_tag_key": "StopTime",
  "ec2_action": "Stop",
  "target_role_arns": [
    "arn:aws:iam::987654321098:role/assume_ec2_exec_role"
  ]
}

EC2インスタンス起動(Start)、停止(Stop)スクリプトプログラム

EC2インスタンス起動(Start)、停止(Stop)スクリプトプログラムの大まかな処理の流れとしては下記のようになります。

  • 実行日が土日祝日であれば処理全体をスキップする
  • event JSONのtarget_role_arnsで指定されたアクション実行対象のEC2インスタンスが存在するAWSアカウント分繰り返して下記を実行する
  • STSで各AWSアカウントのEC2インスタンスへの実行権限を持つCredentialsを取得する
  • event JSONのec2_tag_keyで指定されたタグキーを持つインスタンスを取得する
  • event JSONのec2_tag_keyで指定されたタグキーに対するタグバリューが実行時刻から実行時刻の10分前の範囲にある場合にevent JSONのec2_actionで指定されたアクション(StartまたはStop)をEC2インスタンスに対して実行する
# -*- coding: utf-8 -*-

import boto3
import commands
import json
import os
from datetime import datetime, timedelta

print('Loading function')

#Lambdaの時刻はUTCなのでJSTに合わせる時差を用意する
time_diff = 9

#祝日を取得するスクリプトを用いて当日が祝日かどうかを確認するメソッド
def is_holiday(today):
    flg = _("./get_holidays.sh %s | wc -l" % today).strip()

    if flg == "1":
        print("Today is holiday.")
        return True
    else:
        print("Today is not holiday.")
        return False

#role_arnとendpointからcredentialsを取得するメソッド
def get_sts_credentials(role_arn, sts_region):
    sts_endpoint_url = "https://sts." + sts_region + ".amazonaws.com"
    sts_client = boto3.client('sts',endpoint_url=sts_endpoint_url,use_ssl=True)
    assume_role = sts_client.assume_role(
        RoleArn=role_arn,
        RoleSessionName="AssumeRoleSession1"
    )
    return assume_role['Credentials']

#Linuxのコマンドを実行するメソッド
def _(cmd):
    return commands.getoutput(cmd) 

#Lambda main関数
def lambda_handler(event, context):
    #Lambdaサーバの時刻からJST時間を取得する
    local_time = datetime.now() + timedelta(hours=time_diff)
    print("Today is %s" % (local_time.strftime("%Y/%m/%d %H:%M:%S")))

    #アクションを実行する対象時刻の範囲(10分間)を取得する
    target_time_to = local_time.strftime("%H%M")
    target_time_from = (local_time + timedelta(minutes=-10)).strftime("%H%M")
    print("target_time_from: %s" % (target_time_from))
    print("target_time_to: %s" % (target_time_to))

    #eventのJSONから対象のAWSアカウントのrole_arn配列、stsのendpoint、EC2のリージョン、
    #対象インスタンスを特定するtag-key、実行するAction(Start or Stop)を取得する
    target_role_arns = event["target_role_arns"]
    sts_region = event["sts_region"]
    ec2_region = event["ec2_region"]
    ec2_tag_key = event["ec2_tag_key"]
    ec2_action = event["ec2_action"]
  
    print("Today is %s" % (local_time.strftime("%Y/%m/%d %H:%M:%S")))

    #当日が土日または祝日の場合は処理をスキップする
    if local_time.weekday() > 4 or is_holiday(local_time.strftime("%Y%m%d")):
        print("Skip All Execute: Because today is holiday.")
        return

    #対象となるAWSアカウントのrole_arn配列からrole_arnを取り出して処理する
    for target_role_arn in target_role_arns:
        print("target_account_role: %s" % (target_role_arn))

        #role_arnからec2を操作するためのSTS Credentialsを取得する
        credentials = get_sts_credentials(target_role_arn, sts_region)

        #操作するec2をリージョン、Credentials情報を指定して取得
        ec2 = boto3.resource('ec2', region_name=ec2_region,
            aws_access_key_id=credentials['AccessKeyId'],
            aws_secret_access_key=credentials['SecretAccessKey'],
            aws_session_token=credentials['SessionToken']
        )

        #Filtersで対象インスタンスを特定するtag-keyで検索してインスタンスを取得する
        for instance in ec2.instances.filter(Filters=[{'Name': 'tag-key', 'Values': [ec2_tag_key]}]):
            print("Target instance: %s" % instance)

            #対象インスタンスを特定するtag-keyに対するtag-valueを取得する
            for tag in instance.tags:
                if tag['Key'] == ec2_tag_key and tag['Value'].strip():
                    
                    print("{%s: {%s: %s}}" % (instance.id, tag['Key'], tag['Value']))
                    print("Action: %s" % (ec2_action))

                    #tag-valueが実行対象時間の範囲内に入っていた場合はアクションを実行する
                    if target_time_from < tag['Value'].strip() and tag['Value'].strip() <= target_time_to:
                        #実行するActionがStartの場合はインスタンスのStart処理を行う
                        if ec2_action == "Start":
                            #インスタンスのstateがstoppedならばstart処理を行う
                            if instance.state["Name"] == "stopped":
                                print("Execute: Start %s" % instance.id)
                                result = instance.start()
                                print("Execute Result: %s" % result)
                            else:
                                print("Skip Execute: %s is not stopped." % instance.id)
                        #実行するActionがStopの場合はインスタンスのStop処理を行う
                        elif ec2_action == "Stop":
                            #インスタンスのstateがrunningならばstop処理を行う
                            if instance.state["Name"] == "running":
                                print("Execute: Stop %s" % instance.id)
                                result = instance.stop()
                                print("Execute Result: %s" % result)
                            else:
                                print("Skip Execute: %s is not running." % instance.id)
                        #Actionの文字列がStart, Stopと一致しなかった場合は処理をスキップする
                        else:
                            print("Skip Execute: %s. There is invalid Action. Check your ec2_action parameter." % instance.id)
                            return
                    #tag-valueが実行対象時間の範囲内でなければ処理をスキップする
                    else:
                        print("Skip Execute: %s does not match target time range. " % instance.id)

「EC2インスタンス起動(Start)、停止(Stop)スクリプトプログラム」にevent JSONを渡して呼び出すAWS Lambda関数

上記の「EC2インスタンス起動(Start)、停止(Stop)スクリプトプログラム」は下記のようにAWS Lambda関数からLambda invokeを用いてevent JSONを渡して呼び出すことで使用します。
今回の例では「EC2インスタンス起動(Start)、停止(Stop)スクリプトプログラム」のLambda関数名はstart_stop_instancesとして登録したと仮定しています。

EC2インスタンスを起動(Start)する場合の例
import boto3

def lambda_handler(event, context):
    client = boto3.client('lambda')

    response = client.invoke(
        FunctionName='start_stop_instances',
        InvocationType='RequestResponse',
        LogType='Tail',
        Payload=b'{ "sts_region":"ap-northeast-1", "ec2_region":"ap-northeast-1", "ec2_tag_key":"StartTime", "ec2_action":"Start", "target_role_arns":[ "arn:aws:iam::987654321098:role/assume_ec2_exec_role" ] }'
    )
    
    print(response)
    
EC2インスタンスを停止(Stop)する場合の例
import boto3

def lambda_handler(event, context):
    client = boto3.client('lambda')

    response = client.invoke(
        FunctionName='start_stop_instances',
        InvocationType='RequestResponse',
        LogType='Tail',
        Payload=b'{ "sts_region":"ap-northeast-1", "ec2_region":"ap-northeast-1", "ec2_tag_key":"StopTime", "ec2_action":"Stop", "target_role_arns":[ "arn:aws:iam::987654321098:role/assume_ec2_exec_role" ] }'
    )
    
    print(response)
    
スポンサーリンク
  • このエントリーをはてなブックマークに追加