目次
AWS関連の開発・運用を担当しているマネージドサービス部の代です。
re:Inventは2度目の参加でしたが、長らくAWSに携わってきたことによる平静を一掃するくらい、情熱あふれるエネルギーを頂きました。初めて参加した2年前と比べて、AWSの製品ラインアップがかなり充実していることもあり、大きな発表は期待するほどはありませんでしたが、個人的にはSageMaker、CodeGuru、BraketといったML、AI部分は大幅増強されていたのが印象的でした。
相変わらず参加者は多く、開始1時間前には長い列ができてしまうワークショップが多数ありましたが、そのうちの一つ 「Building secure APIs in the cloud」に参加してきましたので、その内容をご紹介します。
参加セッション
「Building secure APIs in the cloud」https://www.portal.reinvent.awsevents.com/connect/sessionDetail.ww?SESSION_ID=97181(公開終了)
資料のありか
https://workshop.reinvent.awsdemo.me/(公開終了)
※2月現在もアクセスできることが有りたいですね。
ワークショップのゴール
下図のソリューションを作成します。
利用する主なサービス:
API Gateway、WAF、Lambda、CloudFront、S3、X-Ray、Cognito、Cloud9、NLB
ワークショップの内容
本ワークショップではAPI Gateway を題材に、 様々なサービスを使って、いかに容易かつ迅速に、高いセキュリティレベルを維持したサービスを作るかという内容でした。また、X-Rayなどのトレース機能も利用しました。
本ワークショップではAPI Gateway を題材に、 様々なサービスを使って、いかに容易かつ迅速に、高いセキュリティレベルを維持したサービスを作るかという内容でした。また、X-Rayなどのトレース機能も利用しました。
サンプルのAPIから作ります。
IP制限を行います。
特定のIPしかアクセスできない場合も簡単に設定できます。
API GatewayにLambda、Endpoint、S3、DynamoDBを統合することが可能です。今回はVPC Linkを利用します。
API Gateway のモデル機能を利用する
不正なアクセスを予め遮断することができます。
WAFを通じて、SQL Injection、XSS、IP address、geographic area、request size、string matches、regular expression patternsなど色々フィルタをかけられます。
Managed Rulesを利用します。
AWS MarketPlaceから提供するManaged Rulesを利用すれば、OWASP Top 10 security risksおよび Common Vulnerabilities and Exposures (CVE)の脅威も免疫できます。
Cognitoを利用してユーザ認証ができます。
2時間ほどで、堅牢なRest APIが作成できました。
コスト削減を意識し、常時起動する踏み台サーバなどは以下のようにAPI Gatewayを通じて必要時のみ対象サーバを起動するのも考えられます。セキュリティを確保すれば、いろいろ場面に使われるかと思いますので、ぜひ使ってみてください。
この記事をシェアする
![[re:Invent 2023 レポート] Platform engineering with Amazon EKS](/media/QNVy79WE7NMY0dHNto1OhQTZHvqMMJFdtfHzTkFo.png)
