IAMロール

AWS API Gateway（3）カスタムログの出力

2018年12月7日2020年1月20日 eijiコメントはこの投稿ではオフになっています。

API Gatewayは、詳細のアクセスログをCloudWatch Logsに吐き出すことができる。CloudWatch Logsへのログ書き込みを行うためには、書き込み権限の取得とログを書き込むロググループの指定が必要となる。

IAMロールの指定

IAM上でAPI GatewayからCloudWatch Logsへの書き込み許可を持つIAMロールを作成する。IAMでは、あらかじめAmazonAPIGatewayPushToCloudWatchLogsと呼ばれるポリシーが用意されているため、このポリシーがアタッチされたIAMロールを作成する。この作成したIAMロールをAPI Gatewayの設定画面上で指定することで、API GatewayはCloudWatch Logsへの書き込み権限を取得する。

ログの指定

次にAPI Gateway上の各APIのログ/トレース設定画面にて、カスタムアクセスのログ記録を有効化する。入力項目は、CloudWatchロググループのARNと、ログ形式の2種類。ログ形式は、JSONやCLFなどの中から選ぶと自動的に入力される。

AWS API Gateway（2）Kinesisへのデータ投入

2018年12月7日2020年1月20日 eijiコメントはこの投稿ではオフになっています。

API Gatewayから大量のデータを投入し、これらのデータを解析および蓄積する場合には、API GatewayからLambdaに直接データを渡すのではなく、大規模データストリームサービスのKinesisを介した方が、バックエンドのシステムが高負荷に晒されずに安定的に稼働させられる場合がある。

API Gatewayとバックエンドのエンドポイントとの接続は、API Gateway内の統合リクエスト機能を用いて行い、統合リクエストは下の5つの統合タイプを用意している。

Lambda関数
HTTP
Mock
AWSサービス
VPCリンク

Mockは、バックエンドと接続せずにレスポンスを返す統合タイプで、テストを行う際や、CROSのプリフライトリクエストの返答などに用いる。

統合リクエスト

Kinesisと接続する場合は、POSTメソッドを作成し、上記のうちの「AWSサービス」を選択して以下のように各欄に必要事項を入力する。Kinesisへデータ投入する際には、Kinesis側で用意されているputRecordメソッドを使用する。

項目	入力内容	備考
統合タイプ	AWSサービス
AWS リージョン	当該Kinesisのリージョン
AWS サービス	Kinesis
AWS サブドメイン	空欄
HTTP メソッド	POST
アクション	PutRecord
実行ロール	KinesisへのputRecordをAPI Gatewayに許可するIAMロール	arn:aws:iam::account-id:role/iam-role-name

IAMロールについては、KinesisへのputRecordをAPI Gatewayに許可する記述が必要で、IAM上で以下の内容を含んだIAMロールを作成する。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord",
                "kinesis:PutRecords"
            ],
            "Resource": "arn:aws:kinesis:*:*:stream/*"
        }
    ]
}

データマッピング

API GatewayからKinesisにデータを投入する場合は、クライアントから受信したデータをKinesisが規定するデータフォマットに変換する必要がある。これに対応するのがデータマッピング機能で、Velocity Template Languageを用いて記述することができる。

よく使われる関数および使用例を以下に挙げる。

記述	内容
#set($param = ”)	変数の定義
#if(評価式) #end	if文
$context.requestTimeEpoch	データの受信時刻
$input.path(‘$.param’)	入力データ内の指定タグの値
$input.path(‘$.param’).size	入力データ内の指定タグの数
$input.params().header.get(”)	ヘッダ内の指定タグの値
$input.json(‘$.param’)	入力データ内の指定タグJSONデータ
$util.urlDecode($input.path(‘$’))	入力データをURLデコード
$util.escapeJavaScript(data)	文字をエスケープ
$util.base64Encode(data)	文字をBASE64エンコード

また、これらを使用してデータマッピングを記述すると以下となる。

#set($allParams = $input.params())
{
  "params" : {
    #foreach($type in $allParams.keySet())
    #set($params = $allParams.get($type))
    "$type" : {
      #foreach($paramName in $params.keySet())
      "$paramName" : "$util.escapeJavaScript($params.get($paramName))"
      #if($foreach.hasNext),#end
      #end
    }
    #if($foreach.hasNext),#end
    #end
  }
}

AWS Identity and Access Management（1）IAMの概要

2016年12月22日2020年2月3日 eijiコメントはこの投稿ではオフになっています。

AWS Identity and Access Management （IAM）とは

AWS IAMは、AWSをセキュアに使用するための認証認可の仕組み。UserやGroupを作成してパーミッションを付与することができる。AccessKey, SecretKeyの取り扱いは注意が必要で定期的な更新が望ましい。また、Rootアカウント（アカウントを作成したときのID）はIAMの設定するポリシーが適用されない強力なアカウントになるので極力使用しない。

IAMで作成したユーザでマネージメントコンソールにログインすることが可能で、ログインURLはIAM Dashboardより確認編集することが可能である。

20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part1 from Amazon Web Services Japan

20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2 from Amazon Web Services Japan

AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) from Amazon Web Services Japan

AWS Black Belt Techシリーズ AWS IAM from Amazon Web Services Japan

AWS Black Belt Techシリーズ AWS Management Console from Amazon Web Services Japan

安全なアカウント管理のために

安全にアカウントを管理するためには以下のような手法を講じることが望ましい。

ルートアカウントのアクセスキーを消去する
ルートアカウントをMFA認証にする
AWSが定期着したポリシーを利用する
ユーザにグループを割り当て、グループごとにポリシーを定義する
最小限の権限のみを与える
EC2で動作するアプリケーションへは、アクセスキーではなくロールで権限を与える

セキュリティ監査

セキュリティ監査を実施することで高いセキュリティレベルを維持することができる。セキュリティ監査は、定期的もしくはユーザの増減があった際や、サービスの開始/停止時、不正アクセスが疑われる際などに推測を交えずに徹底的に行うと良い。

管理ポリシー

AWSアクセスへの管理権限をJSON形式で指定することが可能である。条件（Condition）は、項目を連ねた場合はAND、項目内で条件を連ねた場合はORとして扱われる。全てのアクセスはデフォルトで拒否、Allowが指定されれば許可、Denyが指定されれば明示的な拒否として扱われる。

分類	項目例	内容
Effect	Allow or Deny	許可設定であればAllow, 拒否設定であればDeny
Action	s3:createBucket	操作の指定、ワイルドカードも使用可能
Resource	arn:aws:s3:::mybucket	service:region:account:resouceの順で記述する
Condition	“IPAddress”: {“AWS:SourceIP”: “192.168.0.1”}	条件を指定する

AWSサービスに対してAWSアクセスの管理権限を付与する仕組み。UserやGroupには紐付かない。例えばEC2からDynamoDBやS3にアクセスする場合は、EC2上にCredentialを置くのではなくインスタンス作成時に適切なIAMロールを紐付ける。~~EC2へのIAMロールの紐付けは、インスタンス作成時のみ可能であることに注意が必要である。~~

AWSCredentialsProvider

AWSの各サービスにアクセスするプログラムをEC2上で動作させる場合に、認証情報をCredentialsから取得するのか、IAMロールから取得するのか選択することができる。Credentialsから取得する場合はProfileCredentialsProviderを、IAMロールから取得する場合はInstanceProfileCredentialsProviderクラスを使用する。

// Credentialsから取得する場合
AWSCredentialsProvider credentialsProvider = new ProfileCredentialsProvider();

// IAMロールから取得する場合
//
// 引数（refreshCredentialsAsync）をtrueにすると認証情報を非同期に更新する新しいスレッドが生成される
// falseにすると認証情報の更新は、インスタンスメタサービスに合わせられる
AWSCredentialsProvider credentialsProvider = new InstanceProfileCredentialsProvider(true);

// 認証情報の取得
credentialsProvider.getCredentials();

STS(AWS Security Token Service)

AWSには、STS(AWS Security Token Service) と呼ばれる一時的に認証情報を付与するサービスが存在し、動的にIAMユーザを作成することができる。IAM Role for EC2はこの仕組みを利用している。有効期限は数分から数時間に設定可能である。

テクニカルタイムアウト

Some technical problems have occurred.

タグ: IAMロール