Production Account AWS Cloud - CSE Account S3 Log Bucket Glue Crawler Glue Data Catalog AWS Step Functions workflow Athena Lambda 集計ジョブごとに Step Functions を実行し並列化 EC2 EC2 S3 Bucket Policy CREATE TABLE AS で集計テーブルを作成 テーブルデータは S3にCSV保存するオプションを有効化 定期実行 Cloud Watch Events Lambda Lambda クエリを実行 クエリ完了を監視 (Step Functions で定期実行) アクセスログを抽出 Secrets Manager BIツールのAPIキーは Secrets Manager に保存 集計が完了したら、 TreasureData をAPIから叩いて起動 Glue Crawler Glue Data Catalog Athena Lambda クエリを実行 結論から述べると、Bucket Policy に読み取りを許可する IAM リソースを指定する場合は下図リ ソース分の実行 IAM Role を指定する必要があります。もちろん、実行 IAM Role 自体にも S3 の読 み取り許可を定義する必要があります。 (Athena はクエリを叩いた実行 Role(= Lambda 実行 Role)に依存します。) Bucket Policy ↑ハマりすぎて SRE 部の人に 助けを求める人の図