AWS Lambda と React App で CSR付きリクエストを行う
作成日
2022-09-30更新日
2022-10-11前提知識
CSRとは、サーバ証明書を発行するための署名要求(Certificate Signing Request)のこと。
公開鍵の情報とディスティングイッシュネーム(組織名や組織の所在地などの情報)が含まれる。
構成
sequenceDiagram participant React App participant Lambda Edge(Proxy) React App->>Lambda Edge(Proxy): Request Lambda Edge(Proxy)->>Server: Request Server-->>Lambda Edge(Proxy): Response Lambda Edge(Proxy)-->>React App: Response
LambdaEdgeとCloudfrontFunctionsはEdgeFunctionなので、環境変数などを重くなる処理に制限が掛けられている。単純なリクエストヘッダーの変更以外で、認証したりする場合は、普通のLambdaの方が良いかも?
秘密鍵・公開鍵とCSRの作成
opensslを使用する。
# 秘密鍵と公開鍵の作成 openssl genrsa 2048 > private_key.pem openssl rsa -in private_key.pem -pubout > public_key.pem # CSR発行 openssl req -new -key private_key.pem > development.csr openssl req -new -key private_key.pem > staging.csr openssl req -new -key private_key.pem > production.csr # 確認する openssl req -new -key public_key.pem > production.csr # 確認 openssl req -text -in development.csr openssl req -text -in staging.csr openssl req -text -in production.csr
AWS Proxyで証明書付きのリクエストを行う
Reactアプリ(クライアント)で直接、証明書付きのリクエストをしようとしても下記のエラーで実行できない。 (httpsモジュールはクライアントで実行できない)
Uncaught Error: Module "https" has been externalized for browser compatibility and cannot be accessed in client code.
import fs from 'fs' import https from 'https' import axios from 'axios' axios({ url: `https://localhost:8080/${route}`, method: "POST", data: formdata, httpsAgent: httpsAgent, })
基本の型
var fs = require('fs'); var https = require('https'); var options = { key: fs.readFileSync('server-key.pem'), cert: fs.readFileSync('server-cert.pem'), ca: fs.readFileSync('apig-cert.pem'), requestCert: true, rejectUnauthorized: true }; https.createServer(options, function (req, res) { res.writeHead(200); res.end("hello world\n"); }).listen(443);
const withCA: axios.AxiosRequestConfig = { httpsAgent: new https.Agent({ ca: [customRootCA], }) };
Step1: シンプルなLambdaをデプロイする
async function main(event) { console.log('domain 👉', process.env.DOMAIN) return { body: JSON.stringify({ message: 'SUCCESS 🎉' }), statusCode: 200, } } module.exports = { main }
Step2: 必要な情報を渡す
domainNamepublic.keydevelopment.crt
参考
CSR
- 秘密鍵、公開鍵、証明書、CSR生成のOpenSSLコマンドまとめ
- Generate and configure an SSL certificate for backend authentication - Amazon API Gateway
- node.js - How to configure axios to use SSL certificate? - Stack Overflow
- Axios (JS) を使用してクライアント側で相互 TLS を使用する — Smallstep
- 既存のCDKプロジェクトをCDK v2.0 に移行する - Qiita
- Fixing the Custom CA Problem in Node.js — Bossy Lobster
Lambda
- [AWS CDK] Lambda@Edge関数の作成または更新時に自動的に最新バージョンを発行し、CloudFront Distributionに紐付ける | DevelopersIO
- Creating Lambda Functions in AWS CDK - Complete Guide | bobbyhadz
- Tutorial: Creating a simple Lambda@Edge function - Amazon CloudFront
- AWS Lambda Proxy Integrationを試してみた - Qiita
- Creating Lambda Functions in AWS CDK - Complete Guide | bobbyhadz
- Lambda@EdgeをCDKで書いてみる
Lambda環境変数
- How to pass Environment Variables to Lambda in AWS CDK | bobbyhadz
- AWS CDKで別リージョンに基本認証用Lambda@Edgeを作成するスタックをデプロイしてAmazon CloudFrontに設定する - NRIネットコムBlog
- AWS CDK で Typescriptで記述したLambdaをデプロイする方法
- How to get Secrets Manager Values in AWS CDK | bobbyhadz
- AWS CDKでLambdaの環境変数と付き合う方法
- AWS CDK で特定の Secret ID を持つ Secret へのアクセス許可を与える · tblog
- AWS CDK で TypeScript な Lambda をデプロイしたい - かもメモ
APIGateway
- API Gateway Example in AWS CDK - Complete Guide | bobbyhadz
- serverless/README.md at main · cdk-patterns/serverless
- CDK を使用した AWS API ゲートウェイ
- amazon web services - How get path params in CDK + APIGateway + Lambda - Stack Overflow
- class LambdaRestApi (construct) · AWS CDK
WAF
5分間で100回APIリクエストしたIPに対して、ブロックする。
rules: [ { statement: { rateBasedStatement: { limit: 100, aggregateKeyType: 'IP', }, }, ],
- インターフェイス RateBasedStatementProperty · AWS CDK
- [AWS CDK] API Gateway(REST API)のCORSの動作を確認してみた | DevelopersIO
- [AWS CDK] APIGateway+WAFv2 Web ACL構成でデプロイしようとしてちょっとハマった点
- node.jsでAWS IoTにクライアント証明書でHTTPS送信する - たそらぼ
- Node.jsでサーバ証明書の情報を取得したい
- クライアント証明書による認証の証明書を動的に変更するぞ - Qiita
メモ
NodejsFunctionのcodeは、ファイル名まで指定する。- LambdaEdgeは、
../srcのようにindex.jsがあるディレクトリを指定すれば良い。
aws_lambda_nodejs.NodejsFunction とlambda.Functionと、Lambda@Edgeの違い
- LambdaEdgeを削除できなかったので、AWS CDKで構築したLambda@Edge関数を削除する際の注意点 | DevelopersIOで対策する。
aws-cdk-libと@aws-cdk/〇〇を併用して使っていると謎エラーが発生するので、注意。AWS CDKのパッケージのバージョンはCDKプロジェクト内で揃えるようにしよう! | DevelopersIO- cdk deploy時にDocker周りのエラーが発生していたが、再起動すると消えた。
- 【詳解】クライアント証明書 認証を実装しながら理解する – 前編:概要~証明書作成編 | 煎茶
Related
Tags
認証
AWS