BeeX Technical Blogre:Invent 2019ワークショップ「Building secure APIs in the cloud」参加報告

AWS関連の開発・運用を担当しているマネージドサービス部の代です。

re:Inventは2度目の参加でしたが、長らくAWSに携わってきたことによる平静を一掃するくらい、情熱あふれるエネルギーを頂きました。初めて参加した2年前と比べて、AWSの製品ラインアップがかなり充実していることもあり、大きな発表は期待するほどはありませんでしたが、個人的にはSageMaker、CodeGuru、BraketといったML、AI部分は大幅増強されていたのが印象的でした。

相変わらず参加者は多く、開始1時間前には長い列ができてしまうワークショップが多数ありましたが、そのうちの一つ 「Building secure APIs in the cloud」に参加してきましたので、その内容をご紹介します。

参加セッション

「Building secure APIs in the cloud」
https://www.portal.reinvent.awsevents.com/connect/sessionDetail.ww?SESSION_ID=97181

資料のありか

https://workshop.reinvent.awsdemo.me/
※2月現在もアクセスできることが有りたいですね。

ワークショップのゴール

下図のソリューションを作成します。

利用する主なサービス:

API Gateway、WAF、Lambda、CloudFront、S3、X-Ray、Cognito、Cloud9、NLB

ワークショップの内容

本ワークショップではAPI Gateway を題材に、 様々なサービスを使って、いかに容易かつ迅速に、高いセキュリティレベルを維持したサービスを作るかという内容でした。また、X-Rayなどのトレース機能も利用しました。

サンプルのAPIから作ります。

IP制限を行います。

特定のIPしかアクセスできない場合も簡単に設定できます。

API GatewayにLambda、Endpoint、S3、DynamoDBを統合することが可能です。今回はVPC Linkを利用します。

API Gateway のモデル機能を利用する

不正なアクセスを予め遮断することができます。

WAFを通じて、SQL Injection、XSS、IP address、geographic area、request size、string matches、regular expression patternsなど色々フィルタをかけられます。

Managed Rulesを利用します。

AWS MarketPlaceから提供するManaged Rulesを利用すれば、OWASP Top 10 security risksおよび Common Vulnerabilities and Exposures (CVE)の脅威も免疫できます。

Cognitoを利用してユーザ認証ができます。

2時間ほどで、堅牢なRest APIが作成できました。

コスト削減を意識し、常時起動する踏み台サーバなどは以下のようにAPI Gatewayを通じて必要時のみ対象サーバを起動するのも考えられます。セキュリティを確保すれば、いろいろ場面に使われるかと思いますので、ぜひ使ってみてください。

カテゴリ

タグ

BeeX Technical Blogについてのお問い合わせ

BeeX Technical Blogのエントリにご質問が御座いましたらお気軽にお問合せください。

お電話でのお問い合わせ

☎ 03-6260-6240

受付時間 平日9:30〜18:00

フォームでのお問い合わせ

お問い合わせフォーム