複数のAWSアカウントから横断で利用する Lambda Authorizer の作り方

Slide 1

Slide 1 text

複数のAWSアカウントから横断で利用する Lambda Authorizer の作り方 JAWS-UG 名古屋 2月会「アクセス権限管理の解体新書」 2025/02/25

Slide 2

Slide 2 text

自己紹介 ● id: iwakrur ● TC3株式会社 ○ アーキテクト ● 趣味 ○ バラエティ番組鑑賞 ○ 10ヶ月の我が子を笑顔にすること 2

Slide 3

Slide 3 text

誰向けの内容？ ● マルチテナントSaaSを開発（中 or 予定）の方 ● Lambda Authorizerの機能を知りたい方 3

Slide 4

Slide 4 text

● Tactna ○ 複数サービスを提供する事業者向けのID管理プラットフォーム（認証基盤） ● 一部機能の裏側で利用する Lambda Authorizerが今日の本題 4 本題に入るための前段

Slide 5

Slide 5 text

Lambda Authorizer Topic

Slide 6

Slide 6 text

● TactnaにカスタムAPIをデプロイする機能がある ○ 用途例 ■ アプリ毎の従量課金など、独自の利用状況レポート表示 ■ アプリサーバーからバッチ処理の実行 6 事業者毎のAuthorizer サービス事業者A 用のAWS環境 API Gateway Lambda Authorizer 独自のAPI処理 Tactnaが発行するJWT

Slide 7

Slide 7 text

● サービス事業者毎にAWSアカウントが異なる ● しかし、各事業者で別々の Lambda Authorizerを使用すると、改修時のデプロイ作業が煩雑になってしまう 7 事業者毎のAuthorizerの問題点サービス事業者A サービス事業者B サービス事業者C サービス事業者D

Slide 8

Slide 8 text

8 統合Authorizer サービス事業者A サービス事業者B 参考: クロスアカウントの API Gateway Lambda オーソライザーを設定する ● Lambdaのリソースポリシーを利用して共通化することで解決 Lambda Authorizer

Slide 9

Slide 9 text

● Lambdaのリソースポリシーを利用して共通化することで解決 ● かと思いきや、このままだと事業者A用の JWTで事業者BのAPIが実行できてしまう ○ 権限制御が必要 9 統合Authorizerの問題点サービス事業者A サービス事業者B JWT Lambda Authorizer

Slide 10

Slide 10 text

● Lambda Authorizerに渡るパラメータを見ると、呼び出し元のAWS アカウントに関する情報を発見 ● JWTに発行元のAWSアカウントIDを格納し、別事業者のAPIが実行できないように 10 統合Authorizerをセキュアに参考: API Gateway Lambda オーソライザーへの入力 JWT event パラメータ例 { "type": "TOKEN", "authorizationToken": "＜JWT文字列＞", "methodArn": "arn:aws:execute-api:ap-northeast-1:11111111111 1:8z1dq6ba9e/v1/GET/report" } 発行元のアカウントID

Slide 11

Slide 11 text

● 複数のAWSアカウントから横断で実行する Lambda Authorizerが完成 11 統合Authorizer完成版サービス事業者A サービス事業者B JWT アカウントID: A アカウントID: B アカウントID: A Lambda Authorizer

Slide 12

Slide 12 text

● 実際には、Tactnaでは以下理由からJWTには環境毎の IDを格納し、DynamoDBと照合しながら制御している ○ 事業者AWSアカウント内には本番環境だけでなく結合環境などもある →API Gateway ID も必要 ○ エンドユーザーが扱うJWT に AWSアカウントID や API Gateway ID が含まれるのは好ましくない 12 統合Authorizer完成版（改）サービス事業者A サービス事業者B JWT 環境毎のID integ 環境 prod 環境 event パラメータ例（再掲） "methodArn": "arn:aws:execute-api:ap-northeast-1:11111111111 1:8z1dq6ba9e/v1/GET/report" 環境毎のID アカウントID API Gateway ID Lambda Authorizer

Slide 13

Slide 13 text

結論 ● JWT内の値と対応付けて認可することで、1つの Authorizerで複数環境からの利用を賄える ○ JWTをカスタマイズしたい場合 Cognito: カスタムLambda Auth0: Actions 13 サービス事業者A サービス事業者B JWT integ 環境 prod 環境 Lambda Authorizer

Slide 14

Slide 14 text

Lambda Authorizer自体の話備考

Slide 15

Slide 15 text

● eventに渡すペイロードを REQUESTにするかTOKENにするか設定できる ○ REQUESTの場合、HTTPリクエストの情報が乗ってくるため、細かな制御が可能 ○ TOKENの場合、細かな制御はできないが、正規表現を利用して弾くことでAuthorizerの無駄な実行を防げる 15 Lambda Authorizerのペイロード

Slide 16

Slide 16 text

16 （参考）REQUESTタイプの場合参考: API Gateway Lambda オーソライザーへの入力

Slide 17

Slide 17 text

● Authorizerの結果をキャッシュ可能 ○ 同じペイロードなら、 Authorizerを実行せずに同じ結果が返る ○ APIのpath単位など細かく制御したい場合は、 Rsourceを * にしない 17 Lambda Authorizerのキャッシュ参考: API Gateway Lambda オーソライザーからの出力

Slide 18

Slide 18 text

API側のLambdaに値を渡したい場合 ● JWT内の属性など、API側の Lambdaに値を渡したい場合は、 context を利用する ○ 例: ユーザーの識別子、テナントID ○ API側は認可済みの値として利用できるため、実装がシンプルになる ■ event.requestContext.aut horizer 18

Slide 19

Slide 19 text

Thank you!