CloudFrontのOACが Lambda Functions URLに対応！！ ...って何が嬉しいの？ KDDIアジャイル開発センター株式会社 Takumi Abe

Takumi Abe { 　"普段" : { 　　"会社": "KDDIアジャイル開発センター株式会社 (24/02~)", 　　"職種": "Webバックエンドエンジニア", 　　"Skill": [ "Ruby", "Vue.js", "Java", "AWS", "Cloudflare"], 　　"ニックネーム": "あべたく", 　　"今日の移動": "博多→戸畑→和白→博多→天神(Now)" 　}, 　"コミュニティ活動": [ 　　"JAWS-UG おおいた", 　　"Cloudflare Meet-up Oita", 　　"AWS Comunity Builder(Serverless)", 　　"AWS Samurai 2023" 　], } }

みなさん、 AWS Lambda使ってますか？

No content

Lambdaがない生活なんて ありえない！！！← （あべたく個人の見解です）

ところでこの記事見ました？

No content

CloudFrontのOACが Lambda Functions URLに 対応しました！！！！

CloudFrontのOACが Lambda Functions URLに 対応しました！！！！ それがどうしたんや？

Lambda Functions URLとは？ Lambda関数をHTTPS経由で実行するた めの一つの方法 ※ただし、AWS認証はない Functions URLがGAされる前までは API Gatewayを前段に設置する必要が合っ た

CloudFront オリジンアクセスコントロール（OAC） CloudFrontディストリビューションのオリジンへのアクセスを制御する機能 ● セキュリティ強化: 特定のIPアドレスやHTTPヘッダーを持つリクエストのみをオリジン に転送し、不正なアクセスを防ぎます。 ● アクセス制御: オリジンへのアクセスを特定の条件下で許可または拒否することが できます。 ● コスト削減: 不要なトラフィックをオリジンに送信しないことで、アクセス料金を削減す ることができます。

そもそも今までは？ 1. Lambda@Edgeを前段に置く方法 2. ALBやAPI Gateway経由でリクエスト ● 実行認可をIAMに託す形 (Lambda@Edgeが認可を行っている) (Cloudfront→Lambdaに向ける場合、通常のHTTP Originとしか扱えない) ● API Gatewayの30sタイムアウトがある ● Lambdaの起動時間を活かせない

全然シンプルじゃ ないじゃないか！

全然シンプルじゃ ないじゃないか！ このアプデで それが解決するんです！ なんだって！？

こうなります！

No content

OACに対応するメリット 構造がシンプルになる - Lambda@Edgeが必要なくなる（コスト面的にもよき） - Origin（Lambda Function URL）はIAM認証を保つことができる

そのうえで （あべたく的） 注意するべきこと

注意するべきこと - Lambdaの起動時間 - 1リクエスト最大15分まで - 外部APIや生成AIを呼び出すときは要注意 - ポリシー制限が適切かどうか - 不正アクセスを制限できるようになったが、正常なリクエストも制限して しまう可能性があるため

ということでやってみた！

まとめ ● Cloudfront OACがLambda Functions URLに対応 ○ Functions URLのシンプルさが活かせ、セキュアに保ちつつ実行できるよう になった ● Lambdaの制限、ルーティングを含めの設計には注意 ○ サーバレス、マネージドサービスだからこその制限は残ってるので、利用 ケース似合わせて柔軟に利用しよう ● Lambdaのポリシーステートメントを外したけど、アクセスできた...なぜ...（調べ 中 ● そもそもこのアプデの利用ケースってあるのか...（真理、というか Step Functionsにほsh…

直近イベント - 5/31 福岡クラウドUG - 6/1 Cloudflare Meetup Fukuoka - 6/20-21 AWS Summit - 6月のどこか JAWS-UG 大分 - 8/3 JAWS-UG 佐賀

05/31(Fri.) 1800~ 場所:エンジニアカフェ