Upgrade to Pro — share decks privately, control downloads, hide ads and more …

複数のAWSアカウントから横断で 利用する Lambda Authorizer の作り方

TC3株式会社
February 25, 2025
Programming
0
110

複数のAWSアカウントから横断で 利用する Lambda Authorizer の作り方

2025年2月25日に開催された、「JAWS-UG 名古屋 2月会「アクセス権限管理の解体新書」」でのアーキテクト岩倉のLT資料です。
https://jawsug-nagoya.connpass.com/event/342964/

複数のAWSアカウント間で利用できる Lambda Authorizer の構築方法について解説しました。本セッションでは、マルチテナントSaaSの開発者やLambda Authorizerの活用を検討している方を対象に、Tactna の事例をもとにした実践的なアプローチを紹介。各事業者ごとに異なるAWSアカウントを持つ環境での認証管理の課題を整理し、それを統合する クロスアカウントLambda Authorizer の設計と実装について詳しく説明しました。

特に、Lambdaのリソースポリシーを活用した統合アプローチの利点や、JWTの発行元AWSアカウントIDを活用してセキュアな認可を実現する方法について具体的なコード例を交えながら解説。また、API Gatewayのリクエストパターン(REQUEST/TOKEN)の選択や、Lambda Authorizerのキャッシュ最適化についても触れ、効率的な認証管理の設計方法を共有しました。

このセッションを通じて、マルチテナント環境における認証管理の課題を解決し、よりスケーラブルでセキュアなAPI認証基盤を構築するためのベストプラクティスを学ぶことができます。

TC3株式会社

February 25, 2025
Tweet

More Decks by TC3株式会社

See All by TC3株式会社
TC3紹介資料_v202303(候補者向け)
tc3jp
0
13k
TC3 社内勉強会 Content Security Policy
tc3jp
1
440
Workload Identity Federationとは_TC3_IDaaS勉強会_revised
tc3jp
0
710
Workload Identity Federationとは_TC3_IDaaS勉強会
tc3jp
0
67
TC3_Terraform勉強会資料_part1
tc3jp
0
770
TC3会社紹介資料_short_v202203.pdf
tc3jp
0
4.4k

Other Decks in Programming

See All in Programming
SwiftUI Viewの責務分離
elmetal
PRO
2
270
データの整合性を保つ非同期処理アーキテクチャパターン / Async Architecture Patterns
mokuo
54
19k
PHPのバージョンアップ時にも役立ったAST
matsuo_atsushi
0
220
ファインディLT_ポケモン対戦の定量的分析
fufufukakaka
0
920
苦しいTiDBへの移行を乗り越えて快適な運用を目指す
leveragestech
0
1k
From the Wild into the Clouds - Laravel Meetup Talk
neverything
0
130
メンテが命: PHPフレームワークのコンテナ化とアップグレード戦略
shunta27
0
300
Generating OpenAPI schema from serializers throughout the Rails stack - Kyobashi.rb #5
envek
1
360
密集、ドキュメントのコロケーション with AWS Lambda
satoshi256kbyte
1
210
ソフトウェアエンジニアの成長
masuda220
PRO
12
2.1k
AIプログラミング雑キャッチアップ
yuheinakasaka
17
4.2k
お前もAI鬼にならないか?👹Bolt & Cursor & Supabase & Vercelで人間をやめるぞ、ジョジョー!👺
taishiyade
7
4.2k

Featured

See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Music & Morning Musume
bryan
46
6.4k
A better future with KSS
kneath
238
17k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.3k
Measuring & Analyzing Core Web Vitals
bluesmoon
6
250
Being A Developer After 40
akosma
89
590k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Rebuilding a faster, lazier Slack
samanthasiow
80
8.9k
Writing Fast Ruby
sferik
628
61k
The Cult of Friendly URLs
andyhume
78
6.2k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
BBQ
matthewcrist
87
9.5k

Transcript

  1. 複数のAWSアカウントから横断で 利用する Lambda Authorizer の作り方 JAWS-UG 名古屋 2月会 「アクセス権限管理の解体新書」 2025/02/25

  2. 自己紹介 • id: iwakrur • TC3株式会社 ◦ アーキテクト • 趣味

    ◦ バラエティ番組鑑賞 ◦ 10ヶ月の我が子を笑顔にすること 2

  3. 誰向けの内容? • マルチテナントSaaSを開発(中 or 予定)の方 • Lambda Authorizerの機能を知りたい方 3

  4. • Tactna ◦ 複数サービスを提供する事 業者向けのID管理プラット フォーム(認証基盤) • 一部機能の裏側で利用する Lambda Authorizerが今日

    の本題 4 本題に入るための前段

  5. Lambda Authorizer Topic

  6. • TactnaにカスタムAPIをデ プロイする機能がある ◦ 用途例 ▪ アプリ毎の従量課金な ど、独自の利用状況レ ポート表示 ▪

    アプリサーバーからバッ チ処理の実行 6 事業者毎のAuthorizer サービス事業者A 用のAWS環境 API Gateway Lambda Authorizer 独自のAPI処理 Tactnaが 発行するJWT

  7. • サービス事業者毎にAWSア カウントが異なる • しかし、各事業者で別々の Lambda Authorizerを使用 すると、改修時のデプロイ 作業が煩雑になってしまう 7

    事業者毎のAuthorizerの問題点 サービス事業者A サービス事業者B サービス事業者C サービス事業者D

  8. 8 統合Authorizer サービス事業者A サービス事業者B 参考: クロスアカウントの API Gateway Lambda オーソライザーを設定する

    • Lambdaのリソースポ リシーを利用して共通 化することで解決 Lambda Authorizer

  9. • Lambdaのリソースポ リシーを利用して共通 化することで解決 • かと思いきや、このま まだと事業者A用の JWTで事業者BのAPIが 実行できてしまう ◦

    権限制御が必要 9 統合Authorizerの問題点 サービス事業者A サービス事業者B JWT Lambda Authorizer

  10. • Lambda Authorizerに 渡るパラメータを見る と、呼び出し元のAWS アカウントに関する情 報を発見 • JWTに発行元のAWSア カウントIDを格納し、

    別事業者のAPIが実行 できないように 10 統合Authorizerをセキュアに 参考: API Gateway Lambda オーソライ ザーへの入力 JWT event パラメータ例 { "type": "TOKEN", "authorizationToken": "<JWT文字列>", "methodArn": "arn:aws:execute-api:ap-northeast-1:11111111111 1:8z1dq6ba9e/v1/GET/report" } 発行元のアカウントID

  11. • 複数のAWSアカウント から横断で実行する Lambda Authorizerが 完成 11 統合Authorizer完成版 サービス事業者A サービス事業者B

    JWT アカウントID: A アカウントID: B アカウントID: A Lambda Authorizer

  12. • 実際には、Tactnaでは以下 理由からJWTには環境毎の IDを格納し、DynamoDBと 照合しながら制御している ◦ 事業者AWSアカウント内に は本番環境だけでなく結合 環境などもある →API

    Gateway ID も必要 ◦ エンドユーザーが扱うJWT に AWSアカウントID や API Gateway ID が含まれ るのは好ましくない 12 統合Authorizer完成版(改) サービス事業者A サービス事業者B JWT 環境毎のID integ 環境 prod 環境 event パラメータ例(再掲) "methodArn": "arn:aws:execute-api:ap-northeast-1:11111111111 1:8z1dq6ba9e/v1/GET/report" 環境毎のID アカウントID API Gateway ID Lambda Authorizer

  13. 結論 • JWT内の値と対応付けて 認可することで、1つの Authorizerで複数環境か らの利用を賄える ◦ JWTをカスタマイズした い場合 Cognito:

    カスタムLambda Auth0: Actions 13 サービス事業者A サービス事業者B JWT integ 環境 prod 環境 Lambda Authorizer

  14. Lambda Authorizer自体の話 備考

  15. • eventに渡すペイロードを REQUESTにするかTOKENにす るか設定できる ◦ REQUESTの場合、HTTPリク エストの情報が乗ってくるた め、細かな制御が可能 ◦ TOKENの場合、細かな制御は

    できないが、正規表現を利用し て弾くことでAuthorizerの無 駄な実行を防げる 15 Lambda Authorizerのペイロード

  16. 16 (参考)REQUESTタイプの場合 参考: API Gateway Lambda オーソライ ザーへの入力

  17. • Authorizerの結果をキャッ シュ可能 ◦ 同じペイロードなら、 Authorizerを実行せず に同じ結果が返る ◦ APIのpath単位など細か く制御したい場合は、

    Rsourceを * にしない 17 Lambda Authorizerのキャッシュ 参考: API Gateway Lambda オーソライ ザーからの出力

  18. API側のLambdaに値を渡したい場合 • JWT内の属性など、API側の Lambdaに値を渡したい場合 は、 context を利用する ◦ 例: ユーザーの識別子、テナ

    ントID ◦ API側は認可済みの値として 利用できるため、実装がシン プルになる ▪ event.requestContext.aut horizer 18

  19. Thank you!