GitHub ActionsでAWS Lambdaに自動デプロイ

DevOpsの実践において、CI / CD（継続的インテグレーション / 継続的デリバリー）は欠かせない要素となっています。特に、クラウドサービスを活用した開発では、効率的なデプロイメントプロセスの構築が重要です。

本番環境での運用を想定してmainブランチにマージ後、自動でAWS Lambdaへデプロイを実行するまでの流れを解説します。

構築の流れ

• AWSの操作
  • Lambda関数作成
  • IDプロバイダ作成
  • ポリシー作成
  • ロール作成
• GitHubの操作
  • Github Actionsへのシークレット情報登録
  • ワークフローの作成
• 動作確認

ディレクトリ構造

.
├── .github
│   └── workflows
│       └── main.yml
└── lambda
    ├── lambda_function.py
    └── requirements.txt

デプロイ時は必要なファイルだけをまとめてzip化するため、Lambdaで使用するlambda_function.pyなどはlambda配下に作成しています。

AWSの操作

Lambda関数作成

デプロイを行うLambda関数を作成します。関数名とランタイムに使用する言語、バージョンは任意の情報を入力・選択します。

Lambda関数が作成されました。赤枠で囲っているARNは後ほどポリシー作成時に使用するのでコピーしておきます。

IDプロバイダ作成

IAM > IDプロバイダを選択してIDプロバイダの追加を行います。プロバイダの設定は下記の情報を入力して「プロバイダを追加」を押下します。

• プロバイダのタイプ：OpenID Connect
• プロバイダのURL：https://token.actions.githubusercontent.com
• 対象者：sts.amazonaws.com

ポリシー作成

IAM > ポリシーを選択してポリシーの作成を行います。ポリシーエディタでJSONタブを選択して下記情報を入力します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:UpdateFunctionCode"
            ],
            "Resource": "arn:aws:lambda:us-west-2:ID:function:FUNCTIONNAME"
        }
    ]
}

※arn:awsから始まる赤枠には先ほどコピーしておいたLambda関数のARNを指定します。

ポリシー名を入力して「ポリシーの作成」を押下します。

ロール作成

IAM > ロールを選択し、「ロールを作成」をクリックします。ロールの設定は下記の情報を入力して「次へ」を押下します。

• 信頼されたエンティティタイプ：ウェブアイデンティティ
• アイデンティティプロバイダー：token.actions.githubusercontent.com
• Audience：sts.amazonaws.com
• GitHub組織：GitHubの組織名
• GitHubリポジトリ：GitHubのリポジトリ名

先ほど作成したポリシーを選択して「次へ」を押下します。

「ロール名」と「信頼されたエンティティ」に下記の情報を入力して「次へ」を押下します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::ID:oidc-provider/token.actions.githubusercontent.com"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "token.actions.githubusercontent.com:aud": "sts.amazonaws.com"
                },
                "StringLike": {
                    "token.actions.githubusercontent.com:sub":"repo:ORGANIZATION/REPOSITORY:*"
                }
            }
        }
    ]
}

ここで作成したロールのARNはGitHubのシークレット情報に登録するためコピーしておきます。AWS側の設定は以上で完了です。

GitHubの操作

Github Actionsへのシークレット情報登録

Settings > Secrets and variables > Actionsを選択し、「New repository secret」を押下して、下記の情報を登録します。

• AWS_REGION：Lambda関数を作成したリージョン（今回は：us-west-2）
• AWS_ROLE_ARN：作成したIAMロールのARN

2つのシークレット情報の登録が完了しました。

ワークフローの作成

GitHubリポジトリの「Actions」を選択してデプロイのワークフローを作成します。

.github/workflows/main.ymlに下記情報を入力して「Commit changes」を押下し、mainブランチを更新します。

name: AWS Lambda Deploy 
on:
  push:
    branches:
      - main
jobs:
  deploy:
    runs-on: ubuntu-latest
    permissions:
      id-token: write
      contents: read

    steps:
      - name: Checkout repository
        uses: actions/checkout@v4

      - name: Configure AWS Credentials
        uses: aws-actions/configure-aws-credentials@v4
        with:
          aws-region: ${{ secrets.AWS_REGION }}
          role-to-assume: ${{ secrets.AWS_ROLE_ARN }}
          role-session-name: GitHubActions

      - name: get-caller-identity is allowed to run on role.
        run: aws sts get-caller-identity

      - name: Set up Python
        uses: actions/setup-python@v5
        with:
          python-version: '3.12'

      - name: Install dependencies
        run: |
          cd lambda
          pip install -r requirements.txt -t .

      - name: Deploy to AWS Lambda
        run: |
          cd lambda && zip -r package.zip ./*
          aws lambda update-function-code \
          --function-name FUNCTIONNAME --zip-file fileb://package.zip --publish

GitHub側の設定は以上で完了です。mainブランチに直接コミットしたので、ここでデプロイのワークフローが実行されていると思います。

動作確認

mainブランチに直接プッシュまたは、lambda_function.pyを変更しプルリクエストを作成後、mainブランチにマージします。

GitHubリポジトリの「Actions」を選択してワークフローの状況を確認できます。ワークフローが正常に完了すると緑のチェックマークが表示されます。

ワークフロー完了後、Lambdaのバージョンを確認するとコードが更新され、新しいバージョンが追加されました。

---

株式会社ファントムへのお問い合わせ

群馬県でPythonを使ったAIやソフトウェアを開発している株式会社ファントムが運営しています。