Amazon API Gateway でアクセスログを有効化してデプロイしようとすると CloudWatch Logs role ARN must be set in account settings to enable loggingというエラーが出る場合がある😇もしかしたら Amazon API Gateway の設定「CloudWatch ログのロール ARN (CloudWatch log role ARN)」が不足している可能性がある．

「CloudWatch ログのロール ARN」は Amazon API Gateway の API 単位の設定ではなく「アカウント／リージョン」単位の設定で，少し珍しいと思う．もしマルチアカウント戦略を採用できてなく，複数のプロダクトで同じアカウントを共有していたりすると，管理が面倒になることもあると思う😇

AWS CDK でエラーに対処する

選択肢 1: aws_apigateway.RestApi

まず aws_apigateway.RestApiには cloudWatchRoleという設定があって（デフォルトは false），trueにすると自動的に IAM Role を追加して Amazon API Gateway に設定してくれる👌以下にサンプルコードを載せておく．

docs.aws.amazon.com

しかし後述する理由で使わない方が良いと思う💨

import{
    Stack,
    StackProps,
    aws_apigateway,
    aws_logs,
}from'aws-cdk-lib'import{ Construct }from'constructs'exportclass ApiGatewayCloudWatchRoleStack extends Stack {constructor(scope:Construct, id:string, props?:StackProps) {super(scope, id, props)

        const apiAccessLogGroup = new aws_logs.LogGroup(this, 'ApiGatewayAccessLogGroup', {logGroupName: 'sandbox-api-gateway-access-logs',
            retention: aws_logs.RetentionDays.ONE_MONTH,
        })

        const api = new aws_apigateway.RestApi(this, 'ApiGateway', {restApiName: 'sandbox-api-gateway-cloudwatch-role',
            deployOptions: {accessLogDestination: new aws_apigateway.LogGroupLogDestination(apiAccessLogGroup),
                accessLogFormat: aws_apigateway.AccessLogFormat.jsonWithStandardFields(),
            },
            cloudWatchRole: true,
        })
        api.root.addMethod('GET', new aws_apigateway.HttpIntegration('https://dog.ceo/api/breeds/image/random'))
    }}

実際にデプロイすると arn:aws:iam::000000000000:role/ApiGatewayCloudWatchRoleS-ApiGatewayCloudWatchRoleA-nA8OCNOvnkCSという IAM Role が設定されていた💡

もし cloudWatchRoleを設定した Amazon API Gateway を2つ以上デプロイする場合に IAM Role が上書きされてしまうという課題がある．

import{
    Stack,
    StackProps,
    aws_apigateway,
    aws_logs,
}from'aws-cdk-lib'import{ Construct }from'constructs'exportclass ApiGatewayCloudWatchRoleStack extends Stack {constructor(scope:Construct, id:string, props?:StackProps) {super(scope, id, props)

        const apiAccessLogGroup = new aws_logs.LogGroup(this, 'ApiGatewayAccessLogGroup', {logGroupName: 'sandbox-api-gateway-access-logs',
            retention: aws_logs.RetentionDays.ONE_MONTH,
        })

        const api = new aws_apigateway.RestApi(this, 'ApiGateway', {restApiName: 'sandbox-api-gateway-cloudwatch-role',
            deployOptions: {accessLogDestination: new aws_apigateway.LogGroupLogDestination(apiAccessLogGroup),
                accessLogFormat: aws_apigateway.AccessLogFormat.jsonWithStandardFields(),
            },
            cloudWatchRole: true,
        })
        api.root.addMethod('GET', new aws_apigateway.HttpIntegration('https://dog.ceo/api/breeds/image/random'))

        const api2 = new aws_apigateway.RestApi(this, 'ApiGateway2', {restApiName: 'sandbox-api-gateway-cloudwatch-role2',
            deployOptions: {accessLogDestination: new aws_apigateway.LogGroupLogDestination(apiAccessLogGroup),
                accessLogFormat: aws_apigateway.AccessLogFormat.jsonWithStandardFields(),
            },
            cloudWatchRole: true,
        })
        api2.root.addMethod('GET', new aws_apigateway.HttpIntegration('https://dog.ceo/api/breeds/image/random'))
    }}

実際にデプロイすると arn:aws:iam::000000000000:role/ApiGatewayCloudWatchRoleS-ApiGateway2CloudWatchRole-gT1C2Om2Nr4Yという IAM Role に上書きされていた😇 AWS CDK でリソースを管理しているのにデプロイするリソースの順番によって「CloudWatch ログのロール ARN」の値が変わってしまうのは微妙だと思う．

選択肢 2: aws_apigateway.CfnAccount

そこで aws_apigateway.CfnAccountを使うと「CloudWatch ログのロール ARN」を独立したリソースとして管理できる❗️ドキュメントには以下のように書いてあった．できれば AWS CDK Stack も別にしておくと良いと思う👌

To avoid overwriting other roles, you should only have one AWS::ApiGateway::Account resource per region per account.

docs.aws.amazon.com

以下のように aws_iam.Roleと aws_apigateway.CfnAccountを組み合わせて実装できる．

import{
    Duration,
    Stack,
    StackProps,
    aws_apigateway,
    aws_iam,
}from'aws-cdk-lib'import{ Construct }from'constructs'exportclass ApiGatewayAccountStack extends Stack {constructor(scope:Construct, id:string, props?:StackProps) {super(scope, id, props)

        const role = new aws_iam.Role(this, 'ApiGatewayLogsRole', {roleName: 'api-gateway-logs-role',
            assumedBy: new aws_iam.ServicePrincipal('apigateway.amazonaws.com'),
            managedPolicies: [
                aws_iam.ManagedPolicy.fromAwsManagedPolicyName('service-role/AmazonAPIGatewayPushToCloudWatchLogs'),
            ],
            maxSessionDuration: Duration.hours(1),
        })

        new aws_apigateway.CfnAccount(this, 'ApiGatewayAccount', {cloudWatchRoleArn: role.roleArn,
        })
    }}

実際にデプロイすると arn:aws:iam::000000000000:role/api-gateway-logs-roleという指定した IAM Role を設定できていた👏

AWS CDK で Amazon API Gateway の「CloudWatch ログのロール ARN」を設定する - kakakakakku blog

AWS CDK でエラーに対処する

選択肢 1: aws_apigateway.RestApi

選択肢 2: aws_apigateway.CfnAccount

関連ドキュメント

Trending Articles

人気占い師・Sakkoが占う！今日のアナタの運勢と、ラッキーカラーは・・・

BVE阪急全線ダイヤ拡充パック　内容詳説(宝塚線)

ドメインコントローラーをベアメタル回復でバックアップ/リストアする方法

【みかじめ料】工藤會景浦組組長影浦一治容疑者を逮捕

サカサマのパテマ.mp4

カラオケ鉄板ネタになるの間違いなし「大塚愛から福原愛」って何！？

自宅警備員2　-灰原家の血族-　攻略

タスクスケジューラの「停止するまでの時間」設定の注意点について(Windows Server 2012 R2)

スポクラ・しながわ「フリースポーツに参加してみませんか？」（毎週月曜）／品川区

外字の有無をチェックするユーザー定義関数

大阪・泉南イオンで飛び降り自殺とみられる転落事件が発生：ネットで拡散された理由とは

井上貴博アナウンサー彼女や結婚の噂は？実家や親が話題？人気は？

Retouch pilot lite 3.5.3-簡単に写真内の不要な物体を消すことができる無料のフォトレタッチソフト...

福島県郡山市強姦事件

RealLifeCam (RLC) - Madison, Florence, Dianoria, Veronica, Karina - Backyard

＜仙台国際ホテル暴行＞ホテル側謝罪し和解　女性「二度と繰り返さないで」

【ディズニーランドパリ】日本にないオススメアトラクション13選【ウォルトディズニースタジオ】

生野が生んだスーパースター文政　現在、男道（刑務所）にて修行（服役）中㉙

改訂版　開眼　第１話

[Album] Sachiko Kobayashi – 55th Anniversary: All The Best [MP3]