Upgrade to Pro — share decks privately, control downloads, hide ads and more …

複数のAWSアカウントから横断で 利用する Lambda Authorizer の作り方

TC3株式会社
February 25, 2025
Programming
0
120

複数のAWSアカウントから横断で 利用する Lambda Authorizer の作り方

2025年2月25日に開催された、「JAWS-UG 名古屋 2月会「アクセス権限管理の解体新書」」でのアーキテクト岩倉のLT資料です。
https://jawsug-nagoya.connpass.com/event/342964/

複数のAWSアカウント間で利用できる Lambda Authorizer の構築方法について解説しました。本セッションでは、マルチテナントSaaSの開発者やLambda Authorizerの活用を検討している方を対象に、Tactna の事例をもとにした実践的なアプローチを紹介。各事業者ごとに異なるAWSアカウントを持つ環境での認証管理の課題を整理し、それを統合する クロスアカウントLambda Authorizer の設計と実装について詳しく説明しました。

特に、Lambdaのリソースポリシーを活用した統合アプローチの利点や、JWTの発行元AWSアカウントIDを活用してセキュアな認可を実現する方法について具体的なコード例を交えながら解説。また、API Gatewayのリクエストパターン(REQUEST/TOKEN)の選択や、Lambda Authorizerのキャッシュ最適化についても触れ、効率的な認証管理の設計方法を共有しました。

このセッションを通じて、マルチテナント環境における認証管理の課題を解決し、よりスケーラブルでセキュアなAPI認証基盤を構築するためのベストプラクティスを学ぶことができます。

TC3株式会社

February 25, 2025
Tweet

More Decks by TC3株式会社

See All by TC3株式会社
TC3紹介資料_v202303(候補者向け)
tc3jp
0
13k
TC3 社内勉強会 Content Security Policy
tc3jp
1
440
Workload Identity Federationとは_TC3_IDaaS勉強会_revised
tc3jp
0
710
Workload Identity Federationとは_TC3_IDaaS勉強会
tc3jp
0
67
TC3_Terraform勉強会資料_part1
tc3jp
0
770
TC3会社紹介資料_short_v202203.pdf
tc3jp
0
4.4k

Other Decks in Programming

See All in Programming
パスキーのすべて ── 導入・UX設計・実装の紹介 / 20250213 パスキー開発者の集い
kuralab
3
910
第3回関東Kaggler会_AtCoderはKaggleの役に立つ
chettub
3
1.2k
なぜイベント駆動が必要なのか - CQRS/ESで解く複雑系システムの課題 -
j5ik2o
14
4.7k
一休.com のログイン体験を支える技術 〜Web Components x Vue.js 活用事例と最適化について〜
atsumim
0
1.1k
バッチを作らなきゃとなったときに考えること
irof
2
530
苦しいTiDBへの移行を乗り越えて快適な運用を目指す
leveragestech
0
1.1k
PRレビューのお供にDanger
stoticdev
1
240
Honoのおもしろいミドルウェアをみてみよう
yusukebe
1
230
データの整合性を保つ非同期処理アーキテクチャパターン / Async Architecture Patterns
mokuo
55
19k
Ça bouge du côté des animations CSS !
goetter
2
150
Rails 1.0 のコードで学ぶ find_by* と method_missing の仕組み / Learn how find_by_* and method_missing work in Rails 1.0 code
maimux2x
1
250
はじめての Go * WASM *OCR
sgash708
1
110

Featured

See All Featured
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.2k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
650
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
Docker and Python
trallard
44
3.3k
Visualization
eitanlees
146
15k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
4 Signs Your Business is Dying
shpigford
182
22k
Measuring & Analyzing Core Web Vitals
bluesmoon
6
260
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.3k

Transcript

  1. 複数のAWSアカウントから横断で 利用する Lambda Authorizer の作り方 JAWS-UG 名古屋 2月会 「アクセス権限管理の解体新書」 2025/02/25

  2. 自己紹介 • id: iwakrur • TC3株式会社 ◦ アーキテクト • 趣味

    ◦ バラエティ番組鑑賞 ◦ 10ヶ月の我が子を笑顔にすること 2

  3. 誰向けの内容? • マルチテナントSaaSを開発(中 or 予定)の方 • Lambda Authorizerの機能を知りたい方 3

  4. • Tactna ◦ 複数サービスを提供する事 業者向けのID管理プラット フォーム(認証基盤) • 一部機能の裏側で利用する Lambda Authorizerが今日

    の本題 4 本題に入るための前段

  5. Lambda Authorizer Topic

  6. • TactnaにカスタムAPIをデ プロイする機能がある ◦ 用途例 ▪ アプリ毎の従量課金な ど、独自の利用状況レ ポート表示 ▪

    アプリサーバーからバッ チ処理の実行 6 事業者毎のAuthorizer サービス事業者A 用のAWS環境 API Gateway Lambda Authorizer 独自のAPI処理 Tactnaが 発行するJWT

  7. • サービス事業者毎にAWSア カウントが異なる • しかし、各事業者で別々の Lambda Authorizerを使用 すると、改修時のデプロイ 作業が煩雑になってしまう 7

    事業者毎のAuthorizerの問題点 サービス事業者A サービス事業者B サービス事業者C サービス事業者D

  8. 8 統合Authorizer サービス事業者A サービス事業者B 参考: クロスアカウントの API Gateway Lambda オーソライザーを設定する

    • Lambdaのリソースポ リシーを利用して共通 化することで解決 Lambda Authorizer

  9. • Lambdaのリソースポ リシーを利用して共通 化することで解決 • かと思いきや、このま まだと事業者A用の JWTで事業者BのAPIが 実行できてしまう ◦

    権限制御が必要 9 統合Authorizerの問題点 サービス事業者A サービス事業者B JWT Lambda Authorizer

  10. • Lambda Authorizerに 渡るパラメータを見る と、呼び出し元のAWS アカウントに関する情 報を発見 • JWTに発行元のAWSア カウントIDを格納し、

    別事業者のAPIが実行 できないように 10 統合Authorizerをセキュアに 参考: API Gateway Lambda オーソライ ザーへの入力 JWT event パラメータ例 { "type": "TOKEN", "authorizationToken": "<JWT文字列>", "methodArn": "arn:aws:execute-api:ap-northeast-1:11111111111 1:8z1dq6ba9e/v1/GET/report" } 発行元のアカウントID

  11. • 複数のAWSアカウント から横断で実行する Lambda Authorizerが 完成 11 統合Authorizer完成版 サービス事業者A サービス事業者B

    JWT アカウントID: A アカウントID: B アカウントID: A Lambda Authorizer

  12. • 実際には、Tactnaでは以下 理由からJWTには環境毎の IDを格納し、DynamoDBと 照合しながら制御している ◦ 事業者AWSアカウント内に は本番環境だけでなく結合 環境などもある →API

    Gateway ID も必要 ◦ エンドユーザーが扱うJWT に AWSアカウントID や API Gateway ID が含まれ るのは好ましくない 12 統合Authorizer完成版(改) サービス事業者A サービス事業者B JWT 環境毎のID integ 環境 prod 環境 event パラメータ例(再掲) "methodArn": "arn:aws:execute-api:ap-northeast-1:11111111111 1:8z1dq6ba9e/v1/GET/report" 環境毎のID アカウントID API Gateway ID Lambda Authorizer

  13. 結論 • JWT内の値と対応付けて 認可することで、1つの Authorizerで複数環境か らの利用を賄える ◦ JWTをカスタマイズした い場合 Cognito:

    カスタムLambda Auth0: Actions 13 サービス事業者A サービス事業者B JWT integ 環境 prod 環境 Lambda Authorizer

  14. Lambda Authorizer自体の話 備考

  15. • eventに渡すペイロードを REQUESTにするかTOKENにす るか設定できる ◦ REQUESTの場合、HTTPリク エストの情報が乗ってくるた め、細かな制御が可能 ◦ TOKENの場合、細かな制御は

    できないが、正規表現を利用し て弾くことでAuthorizerの無 駄な実行を防げる 15 Lambda Authorizerのペイロード

  16. 16 (参考)REQUESTタイプの場合 参考: API Gateway Lambda オーソライ ザーへの入力

  17. • Authorizerの結果をキャッ シュ可能 ◦ 同じペイロードなら、 Authorizerを実行せず に同じ結果が返る ◦ APIのpath単位など細か く制御したい場合は、

    Rsourceを * にしない 17 Lambda Authorizerのキャッシュ 参考: API Gateway Lambda オーソライ ザーからの出力

  18. API側のLambdaに値を渡したい場合 • JWT内の属性など、API側の Lambdaに値を渡したい場合 は、 context を利用する ◦ 例: ユーザーの識別子、テナ

    ントID ◦ API側は認可済みの値として 利用できるため、実装がシン プルになる ▪ event.requestContext.aut horizer 18

  19. Thank you!