初めに

皆さんは「パブリック仮想インターフェイス」と「プライベート仮想インターフェイス」の違い理解していますか？

「パブリック仮想インターフェイス」と「プライベート仮想インターフェイス」

パブリック仮想インターフェイス(Public virtual interface)

パブリックリソース (非 VPC サービス) に接続するために使用する。
　※パブリックリソース・・・AmazonS3, AmazonGlacier等

プライベート仮想インターフェイス(Private virtual interface)

VPC に接続するために使用する。

終わりに

なるべくシンプルに理解したいと思い、公式ドキュメントを読み漁ったところ、とてもシンプルな説明が書いてありました。
読んでくださった皆さんの理解の一助となれば幸いです。

公式ドキュメント

AWS公式 仮想インターフェイスの作成
AWS公式 Direct Connectとは

どうも、じゃがです！

本記事は AWS Amplify Advent Calendar 2020 の9日目のエントリになります
2020年はAmplify iOS, AndroidのGA、Amplify JSのSSR対応やFlutterのDeveloper Preview、そしてAmplify Admin UIの登場など、Amplifyのアップデートが楽しい一年でしたね！
今回はGraphQL APIのユニットテストを書くノウハウについてまとめてみたいと思います！

想定読者

• AmplifyでGraphQL APIのテストを書きたい人
• テストが要件に入ってくる開発でもAmplify使いたい人

Amplify の基本的な使い方については解説しませんのでご了承ください。手を動かしてAmplify学びたいとうかたは、以下のWorkshopもご参照ください

• https://amplify-sns.workshop.aws/ja/

動作確認環境

• @aws-amplify/cli v4.34.0
• 本記事で作成したコード: https://github.com/jaga810/amplify-graphql-test

GraphQL APIのテストとは？

Amplify CLIでGraphQL APIを構築する際、Amplify Mockingを用いてAPIレスポンスが期待通り返ってくるか、手元で試しながら実装される方は多いのではないでしょうか。(Amplify Mockingを使ったことがないという方はぜひGraphQL API開発スピードを爆上げするAWS Amplify Mockingことはじめをご参照ください)

一方で開発中、継続的にユニットテストを実行したいというニーズもあるかと思います。ユニットテストがあれば今まで実装した部分が新たなコードの変更で崩れないことを担保でき、開発のスピードも質も向上します

Amplify CLIのGraphQL APIでユニットテストはどのように実施すればよいでしょうか？

本記事ではJavaScriptテスティングフレームワークのJestを用いて、Amplify Mockingで立ち上げたローカルサーバーへGraphQL Operationを行い、挙動をテストするという方針でユニットテストを行います
また、そのテストをAmplify Consoleを利用したCI/CDパイプラインで動かします

GraphQL APIの作成

Amplify プロジェクトの初期化

shell

#適当な作業ディレクトリで以下のコマンドを実行します
$ mkdir graphql-test; cd $_
$ amplify init
#amplify initで聞かれる項目は全てデフォルトの選択肢で大丈夫です

GraphQL API の作成

shell

$ amplify add api
#amplify add apiで聞かれる項目は、認証方法でCognitoを選ぶこと以外は全てデフォルトの選択肢で回答します

シンプルなスキーマを持つ Todo モデルが出来上がりました

amplify/backend/api/graphqltest/schema.graphql

type Todo @model {
  id: ID!
  name: String!
  description: String
}

認可の仕組みを実装するために、このスキーマを以下のように書き換えます

amplify/backend/api/graphqltest/schema.graphql

type Todo
  @model
  @auth(
    rules: [
      {allow: owner, ownerField: "owner", operations: [create, read, update, delete]},
    ]
  )
{
  id: ID!
  name: String!
  description: String
}

これにより最初にTodoを作成したownerだけが、read/update/delete処理を実行できるようになりました

動作確認

ユニットテストではローカル環境でGraphQL APIの動作確認が可能なAmplify Mockingを利用します。Amplify Mockingは内部的に、amplify-appsync-simulatorと、DynamoDB Localを利用しています

shell

$ amplify mock api
#amplify mock apiで聞かれる項目はすべてデフォルトの選択肢で回答します
...
AppSync Mock endpoint is running at http://192.168.1.2:20002 (http://192.168.1.2:20002/)

最後に表示されたエンドポイントでamplify-appsync-simulatorが立ち上がっており、アクセスすると以下のようなAmplify GraphiQL Explorerが表示されます

ユニットテストの実行

Jestの導入

まずはpackage.jsonを作成します

shell

$ npm init
#test commandのみ jest と入力しましょう。$ npm testコマンドでjestが走るようになります

Jestをはじめとしたテストに必要なライブラリをインストールします

shell

$ npm install —save-dev jest babel-jest babel-plugin-transform-es2015-modules-commonjs

また、プロジェクト直下に以下のファイルを作成します

.babelrc

{
  "env": {
      "test": {
          "plugins": [
              "transform-es2015-modules-commonjs"
          ]
      }
  }
}

jest.config.js

module.exports = {
  transform: {
      '^.+\\.js$'  : '<rootDir>/node_modules/babel-jest',
  },
  moduleFileExtensions: ['js']
}

@authのテストを書く

@authで指定した通りに、ownerしかupdateができないことを確認するユニットテストを書いていきます

テスト内で必要なライブラリをインストールします

shell

npm install —save-dev graphql-request graphql crypto base64url

Amplify JavaScriptのライブラリはAppSyncに渡すヘッダを自由に変更できないので、軽量なgraphql-requestをGraphQLクライアントとして利用します
cryptoとbase64urlはCognitoのJWTトークンを擬似的に生成するために利用します

プロジェクト直下に以下のファイルを作成します

auth.test.js

import { GraphQLClient } from 'graphql-request';
import crypto from 'crypto';
import base64url from 'base64url';

import { createTodo, updateTodo } from './src/graphql/mutations';

const cognitoJwtGenerator = ({username}) => {
  const header = {
    'alg': 'HS256',
    'typ': 'JWT'
  }

  const payload = {
    'sub': '7d8ca528-4931-4254-9273-ea5ee853f271',
    'cognito:groups': [],
    'email_verified': true,
    'algorithm': 'HS256',
    'iss': 'https://cognito-idp.us-east-1.amazonaws.com/us-east-1_fake_idp',
    'phone_number_verified': true,
    'cognito:username': username,
    'cognito:roles': [],
    'aud': '2hifa096b3a24mvm3phskuaqi3',
    'event_id': '18f4067e-9985-4eae-9f33-f45f495470d0',
    'token_use': 'id',
    'phone_number': '+12062062016',
    'exp': 16073469193,
    'email': 'user@domain.com',
    'auth_time': 1586740073,
    'iat': 1586740073
  }

  const encodedHeaderPlusPayload = base64url(JSON.stringify(header)) + '.' + base64url(JSON.stringify(payload));

  const hmac = crypto.createHmac('sha256', 'secretKey')
  hmac.update(encodedHeaderPlusPayload)

  return encodedHeaderPlusPayload + '.' + hmac.digest('hex');
}

//2ユーザーからリクエストを行えるよう2つのクライアントを作成
const testUsers = ['user_0', 'user_1'];
const clients = [];

clients.push(new GraphQLClient('http://localhost:20002/graphql', {
  headers: {
    Authorization: cognitoJwtGenerator({username: testUsers[0]})
  },
}));

clients.push(new GraphQLClient('http://localhost:20002/graphql', {
  headers: {
    Authorization: cognitoJwtGenerator({username: testUsers[1]})
  },
}));

describe('Todo Model', () => {
  test('Only owner can update their todos', async () => {
    const testTodo = {
      name: 'Test task',
      description: 'This is a test task for unit test',
    };

    // Test用Todoの作成
    const created = await clients[0].request(createTodo, {input: testTodo});

    // Owner自身によるUpdateが成功することを確認
    const updatedName = 'Updated Test Task by user_1';
    const updatedByOwner = await clients[0].request(updateTodo, {input: {id: created.createTodo.id, name: updatedName}});
    expect(updatedByOwner.updateTodo.name).toStrictEqual(updatedName);

    // Owner以外によるUpdateが失敗することを確認
    const updatedByOthers =  clients[1].request(updateTodo, {input: {id: created.createTodo.id, name: ''}});
    await expect(updatedByOthers).rejects.toThrowError('ConditionalCheckFailedException');
  });
});

テストを実行してみましょう。( $ amplify mock api が動いていることを確認してください)

shell

$ npm run test
graphql-test@1.0.0 test /Users/daisnaga/Dev/amplify-playground/graphql-test
> jest

PASS ./auth.test.js
Todo Model
✓ Only owner can update their todos (166 ms)

Test Suites: 1 passed, 1 total
Tests: 1 passed, 1 total
Snapshots: 0 total
Time: 2.65 s
Ran all test suites.

テストが通りました！

CI/CDパイプライン (Amplify Console) でGraphQL APIのユニットテストを実行する

1コマンドでAppSync Simulatorの起動からテストの実行までを行う

これまでのように$ amplify mock apiを起動しておきつつ、別のシェルで$ npm run testを実行するのは、手元ではAppSync Simulatorの開始処理を何度も行わないで済むというメリットがある一方、Amplify ConsoleなどCI/CDパイプラインを利用する際は不便です。1コマンドでAppSync Simulatorの起動からテストの実行までを行うため、bahmutov/start-server-and-test を用います。

shell

$ npm install —save-dev start-server-and-test

package.jsonのscriptsに以下を追記します。

package.json

{
  ...
  "scripts": {
    "test": "jest",
    "start-server": "amplify mock api",
    "ci": "start-server-and-test start-server http://localhost:20002 (http://localhost:20002/) test“
  },
  ...
}

これにより、$ npm run ci実行時に以下の処理が行われます

1. 第一引数のstart-server、すなわちamplify mock apiコマンドの実行によりAmplify Mockingを開始
2. 第二引数のhttp://localhost:20002を監視し、amplify-appsync-simulatorの起動を待機
3. 第三引数の test すなわち jest を実行
4. テストの実行終了後、Amplify Mockingを停止

実際に試してみましょう。($ amplify mock api が停止していることをご確認ください)

$ npm run ci

ユニットテストが無事実行できたかと思います。(途中AppSync Simulatorのエラーが出力されますが、期待通りの振る舞いです)

Amplify Consoleのセットアップ

下ごしらえができたので、Amplify Console でテストを実行します。
ここではGitHubにこれまでのコードをpushする流れはSkipさせていただきます。

1. AWSのマネージメントコンソールからAmplify Consoleを開きます
2. 右上の New app > Host web app をクリックします
3. GitHubを選択し、 Continueをクリックします
4. リポジトリブランチの追加でpushしたブランチをrepoとブランチを選択します
5. ここまで $ amplify pushを実行していないので、ビルド設定の追加ではCreate new environmentを選択し、env名には好きな名前(mainline など)を入力します。
6. ビルド設定の項目で、テスト項目を追加します
7. 「次へ」をクリックし、「保存してデプロイ」します

数分待つとビルドとテストがクリアされ、デプロイされたことを確認できます。

ビルド設定にGraphQL APIのユニットテストを足す

このままだと特にユニットテストもせずデプロイされてしまいます。テストの設定を追加してみましょう

アプリの設定 > ビルドの設定 > ビルド設定の追加で編集をクリック

以下のように書き換え、「保存」します

amplify.yml

version: 1

backend:
  phases:
    # IMPORTANT - Please verify your build commands
    preBuild:
      commands:
        - amazon-linux-extras enable corretto8 
        - yum install -y java-1.8.0-amazon-corretto java-1.8.0-amazon-corretto-devel
        - npm ci
        - amplify pull --appId ${APP_ID} --envName main -y 
        - # Amplify Mockingの実行に必要なAmplifyプロジェクトの情報をpull
        - # ${APP_ID}はご自身のIDに置き換えてください。Amplify ConsoleでAppを開いて、#/の次の文字列です。(例: d3j54ikssyzl4d)
    build:
      commands:
        - '# Execute Amplify CLI with the helper script'
        - npm run ci && amplifyPush --simple #ユニットテストが通った時のみデプロイ
frontend:
  phases:
    preBuild:
      commands:
        - npm ci
    build:
      commands: []
  artifacts:
    # IMPORTANT - Please verify your build output directory
    baseDirectory: /
    files:
      - '**/*'
  cache:
    paths:
      - node_modules/**/*

(注1) Amplify Consoleのビルド環境はAmazon Linux2で、$ amplify mock api に必要なJavaランタイムが入っていません。そのため本記事ではAWSが提供する無償OpenJDK Distributionである Amazon Corretto をビルド時にインストールしています。ただしこれではCI/CDパイプラインが動くたびにJavaをインストールすることになり、ビルドの実行時間が伸びてしまいます。実際に利用するときはCustom build images機能を用いて、Javaをインストール済みのコンテナを利用することをおすすめします。

(注2) Add end-to-end tests to your appのように、testセクションを用いる事も可能ですが、testセクションに書いた内容はbackendとfrontendのセクションが実行された後に実行されます。その場合$ npm run ciを用いたユニットテストが通ろうが通るまいが、バックエンドリソースが更新されてしまいます。そのため本記事では npm run ci && amplifyPush --simpleとすることで、ユニットテストが通らない場合にバックエンドリソースの更新をしないようにしています。

ビルドのページに戻って「このバージョンを再デプロイ」ボタンをクリックします。

数分待つとビルドとデプロイが実行されました！

ユニットテストが実行され、パスしてることが確認できます。

ユニットテストが通らなかった場合の挙動の確認

ユニットテストが通らなかった場合に、デプロイが実行されないことを確認しましょう
auth.test.jsに必ず失敗するテストを追加します

auth.test.js

...

describe('Todo Model', () => {
  //[追加部分]必ず失敗するテスト
  test('must fail', () => {
    expect(0).toStrictEqual(1);
  })

  //以下は同じ
  test('Only owner can update their todos', async () => {
    const testTodo = {
      name: 'Test task',
      description: 'This is a test task for unit test',
    };

    // Test用Todoの作成
    const created = await clients[0].request(createTodo, {input: testTodo});

    // Owner自身によるUpdateが成功することを確認
    const updatedName = 'Updated Test Task by user_1';
    const updatedByOwner = await clients[0].request(updateTodo, {input: {id: created.createTodo.id, name: updatedName}});
    expect(updatedByOwner.updateTodo.name).toStrictEqual(updatedName);

    // Owner以外によるUpdateが失敗することを確認
    const updatedByOthers =  clients[1].request(updateTodo, {input: {id: created.createTodo.id, name: ''}});
    await expect(updatedByOthers).rejects.toThrowError('ConditionalCheckFailedException');
  });
});

この内容をgitにpushし、再度デプロイの様子をみてみます。

確かにビルドフェーズで失敗しており、amplifyPush --simpleが実行されないことが確認できました！

Tips & etc

リクエストヘッダの生成

AmplifyのGraphQL APIで利用するAppSyncではCognito、IAM、API_KEY、OIDCの4つの認証方法が利用できます。
ここでは、IAM、API_KEY認証のリクエストヘッダの作り方をご紹介します。
(著者の環境ではAmplify MockingのOIDC認証がUnauthorizedExceptionになってしまい解決できず、、ここでは割愛させていただきます...><)

IAMの場合

リクエストヘッダに以下を付与します

const iam_key_client = new GraphQLClient('http://localhost:20002/graphql', {
  headers: {
    'Authorization': 'AWS4-HMAC-SH256 IAMAuthorized'
  }
})

API_KEYの場合

const api_key_client = new GraphQLClient('http://localhost:20002/graphql', {
  headers: {
    'x-api-key': 'da2-fakeApiId123456'
  }
})

Seed Dataの作成

残念ながらAmplify CLIのAmplify MockingではSeed Dataの作成をサポートしていません。
PFRが上がっているので清き+1をぜひ！
https://github.com/aws-amplify/amplify-cli/issues/2563#issuecomment-541873258

VTL単体のテスト

Amplify CLI を使っていると生VTLを書くことはほとんどありませんが、Custom VTL単体でtestしたい場合は、@G-awaさん著 Effective AppSync 〜 Serverless Framework を使用した AppSync の実践的な開発方法とテスト戦略 〜 の「VTLをテストする」の項目が非常に参考になります。

まとめ

Amplify Mockingを活用したGraphQL APIのユニットテストと、ユニットテストをAmplify Consoleでのデプロイ時に実行するところまでをご紹介しました。日々の開発にお役立ていただけましたら幸いです！！！

参考資料

• Effective AppSync 〜 Serverless Framework を使用した AppSync の実践的な開発方法とテスト戦略 〜
• Jestで非同期関数が例外を投げることをテストする。
• Getting Started · Jest
• この頃流行りのJestを導入して軽快にJSをテストしよう - Qiita
• graphql-request - npm
• JSON Web Tokens - jwt.io
• base64url - npm
• Crypto | Node.js v15.3.0 Documentation

AWSのML系のサービスにAmazon Rekognitionというのがあり、画像の認識に使えるAPIが用意されています。

ユーザーからアップロードされた画像をサイト上に表示する場合などに、まあ何というかいろいろとアウトな感じの画像をアップロードされるとよろしくないですね。そこでこのRekognitionを使うと、inappropriateな要素にタグ付けをしてくれます。

実装例

Node/TypeScriptでの実装例です。画像をBufferで受け取って、アウトっぽい画像ならfalseを返します。以下のドキュメントの内容を基にしています。

https://docs.aws.amazon.com/rekognition/latest/dg/procedure-moderate-images.html

import * as AWS from 'aws-sdk';

AWS.config.update({
  region: 'ap-northeast-1'
});

export class RekognitionModerator {
  public async moderate(image: Buffer): Promise<boolean> {
    const rekognition = new AWS.Rekognition({apiVersion: '2016-06-27'});
    const params: AWS.Rekognition.DetectModerationLabelsRequest = {
      Image: {
        Bytes: image,
      },
      MinConfidence: 99.5
    };

    const res: AWS.Rekognition.DetectModerationLabelsResponse = await rekognition.detectModerationLabels(params).promise();
    if (res.ModerationLabels && res.ModerationLabels.length > 0) {
      return false;
    }

    return true;
  }
}

ユーザーがアップロードしてきた画像をこのクラスでチェックすれば、いかがわしい画像をブロックできます。登録はさせないけどサーバーのどこかに保存しておく、みたいな邪悪なことをやるのはやめましょう。

いくらなんでもここにテスト用画像貼ると怒られるので貼りませんが、画像いくつか集めてきて試してみると

健全なしずかす絵

{ ModerationLabels: [], ModerationModelVersion: '4.0' }

不健全なしずかす絵

{
  ModerationLabels: [
    {
      Confidence: 99.9688949584961,
      Name: 'Explicit Nudity',
      ParentName: ''
     },
    {
      Confidence: 99.9688949584961,
      Name: 'Illustrated Explicit Nudity',
      ParentName: 'Explicit Nudity'
    }
  ],
  ModerationModelVersion: '4.0'
}

7ct Kindle版11ページ

{ ModerationLabels: [], ModerationModelVersion: '4.0' }

Rekognitionからはこんな感じのレスポンスが返ってきます。Confidenceは結果の信頼度、どのくらいの精度でアウトなのかを示す数値です。高いほど結果が信頼できるということになります。

サンプルコードではMinConfidence: 99.5という指定をしていました。この場合RekognitionはConfidenceが99.5以上の結果しか返さない、という動きになります。ちなみにデフォルト値は50なので相当緩く設定しています。

いろいろ試してみた感じ、特に二次元にはわりと厳しいようで、別にR指定が付くような画像でなくても露出度高めの衣装とかだと98とか99とかそんな値が返ってくることが時々あります。二次元の画像を主に扱う場合は99.5あたりを機械検出の閾値にして、後は人間がモデレーションする（適宜巡回する、通報を受け付ける）のが現実的なところかな、というのが個人的な感覚です。

これはGo Advent Calendar 2020の8日目の記事です。

先日業務の中でElasticSearchを利用する機会があり、elasticがサポートしている公式のGoクライアントをその際にあまり日本語でまとまっていた情報がなかったので、これを機にまとめてみようと思います。

go-elasticsearch
https://github.com/elastic/go-elasticsearch

概要

この公式ライブラリは2019年にリリースされた比較的新しいもので、Elasticの公式のクライアントとして認定され、メンテナンスされています。
https://www.elastic.co/guide/en/elasticsearch/client/index.html

go-elasticsearchクライアントはバージョン6系と7系がありますが、これはそれぞれElasticSearchの6系、7系に対応するものになっているので、使用するElasticSearchのバージョンに合わせて利用するライブラリのバージョンは決定してください。

使い方

Client作成

クライアント作成は２パターンあります。まずNewDefaultClientです。こちらは引数を取らないものですが、 ELASTICSEARCH_URLという環境変数にElasticSearchのエンドポイントURLを入れておくことで自動で設定してくれます。

elasticsearch.NewDefaultClient()

elasticsearch.NewClient(Config)は色々とオプションを追加できるクライアントの作成方法になります。Elastic Cloudなどを利用する場合はアドレスではなく、IDでも接続することができます。この場合はELASTICSEARCH_URLに設定された環境変数は無視されます。
CACertで証明書、RetryOnStatusでリトライするStatusの定義なども盛り込むことが可能です。

cert, _ := ioutil.ReadFile("path/to/ca.crt")

cfg := elasticsearch.Config{
  Addresses: []string{
    "http://localhost:9200",
    "http://localhost:9201",
  },
  Username: "foo",
  Password: "bar",
  RetryOnStatus: []int{429, 502, 503, 504},
  CACert: cert,
  Transport: &http.Transport{
    MaxIdleConnsPerHost:   10,
    ResponseHeaderTimeout: time.Second,
    DialContext:           (&net.Dialer{Timeout: time.Second}).DialContext,
    TLSClientConfig: &tls.Config{
      MinVersion:         tls.VersionTLS11,
    },
  },
}

elasticsearch.NewClient(cfg)

Search

検索サジェストなどで用いるSearchは以下のように使用します。

  var buf bytes.Buffer
  query := map[string]interface{}{
    "query": map[string]interface{}{
      "match": map[string]interface{}{
        "title": "test",
      },
    },
  }
  if err := json.NewEncoder(&buf).Encode(query); err != nil {
    log.Fatalf("Error encoding query: %s", err)
  }

  // Perform the search request.
  res, err = es.Search(
    es.Search.WithContext(context.Background()),
    es.Search.WithIndex("test"),
    es.Search.WithBody(&buf),
    es.Search.WithTrackTotalHits(true),
    es.Search.WithPretty(),
  )
  if err != nil {
    log.Fatalf("Error getting response: %s", err)
  }
  defer res.Body.Close()

  if res.IsError() {
    var e map[string]interface{}
    if err := json.NewDecoder(res.Body).Decode(&e); err != nil {
      log.Fatalf("Error parsing the response body: %s", err)
    } else {
      // Print the response status and error information.
      log.Fatalf("[%s] %s: %s",
        res.Status(),
        e["error"].(map[string]interface{})["type"],
        e["error"].(map[string]interface{})["reason"],
      )
    }
  }

少し複雑ですが、queryに実際のリクエストで投げるJsonの構造体を参考にmap[string]interface()を定義して、検索する文字列を入れます。

HTTPでリクエスト送る際のJsonBodyがこんな感じだと

{
  "size": 5,
  "query": {
    "bool": {
      "should": [{
        "match": {
          "word.autocomplete": {
            "query": "え"
          }
        }
      }, {
        "match": {
          "word.readingform": {
            "query": "え",
            "fuzziness": "AUTO",
            "operator": "and"
          }
        }
      }]
    }
  },
}'

Goで定義するクエリはこんな感じになります。なかなか複雑ですね・・・。

query := map[string]interface{}{
    "query": map[string]interface{}{
        "bool": map[string]interface{}{
            "should": []map[string]interface{}{
                {
                    "match": map[string]interface{}{
                        "word.autocomplete": map[string]interface{}{
                            "query": normalized,
                        },
                    },
                },
                {
                    "match": map[string]interface{}{
                        "word.readingform": map[string]interface{}{
                            "query":     normalized,
                            "fuzziness": "AUTO",
                            "operator":  "and",
                        },
                    },
                },
            },
        },
    },
}

そしてその後それをjsonにエンコードし、Searchメソッドの引数にWithBody内に入れ、Searchメソッドを叩きます。

  if err := json.NewEncoder(&buf).Encode(query); err != nil {
    log.Fatalf("Error encoding query: %s", err)
  }

  // Perform the search request.
  res, err = es.Search(
    es.Search.WithContext(context.Background()),
    es.Search.WithIndex("test"),
    es.Search.WithBody(&buf),
    es.Search.WithTrackTotalHits(true),
    es.Search.WithPretty(),
  )

他にも多くの引数があることが見て取れます。withSortなどを用いるとSortなども可能となっています。

Searchメソッドのレスポンスはhttp.Responseのラッパーなようになっています。また、IsError()メソットで500エラーなどの判定をすることが可能です、

Searchなどとは異なり、IndexやCreate,Updateは比較的シンプルに記載することができます。基本的にそれぞれのXXRequestという型がgo-elasticのesapiパッケージに用意されているため、そこにリクエストする値を入れてDoメソッドを叩く形になります。

ここもレスポンスはIsErrorでチェックしてあげてください。

    tag := Sample{
        ID:   id,
        Name: name,
    }

    reqByte, err := json.Marshal(tag)
    if err != nil {
        return err
    }

    requestReader := bytes.NewReader(reqByte)

    req := esapi.CreateRequest{
        Body:   requestReader,
        Pretty: true,
    }
    res, err := req.Do(ctx, r.client)
    if err != nil {
        return xerrors.Errorf("failed to update with elastic search. %w", err)
    }

    if res.IsError() {
        return xerrors.Errorf("failed to update with elastic search. Not ok. %s", res.Status())
    }
    defer res.Body.Close()

様々なオプションもその型の中で定義することが可能です。試しにUpdateRequest型を見てみましょう。基本的なリクエストのボディをBodyに格納する形になりますがHeaderやPrettyなど様々なオプションの定義ができることがみて取れますね。

type UpdateRequest struct {
    Index        string
    DocumentType string
    DocumentID   string

    Body io.Reader

    Fields              []string
    IfPrimaryTerm       *int
    IfSeqNo             *int
    Lang                string
    Parent              string
    Refresh             string
    RetryOnConflict     *int
    Routing             string
    Source              []string
    SourceExcludes      []string
    SourceIncludes      []string
    Timeout             time.Duration
    Version             *int
    VersionType         string
    WaitForActiveShards string

    Pretty     bool
    Human      bool
    ErrorTrace bool
    FilterPath []string

    Header http.Header

    ctx context.Context
}

以上がelasticがサポートするElasticSearchのGoクライアントの紹介になりました。
少しコード量が多くなってしまう場合もありますが、公式がメンテをしてくれることもあり安心して利用のできるライブラリなので使って損はないと思います。

AWS LambdaとServerless Advent Calendar 2020 12/8分の記事です。

---

COVID-19の影響で、オンライン開催となったAWS re:Invent 2020。
初日のキーノートで、AWS Lambdaがコンテナをサポートするという発表がありました。
New for AWS Lambda – Container Image Support

なんかやってみたなーと思って、昔Javaをやっていたので、
Java用のコンテナイメージ使って、Lambda関数を作ってみました。

どんなコンテナイメージあるの？

コンテナイメージ(Base Image)にはどんなのがあるのかと、
DockerHubをみると、以下のものがあるようですね。

• amazon/aws-lambda-nodejs
• amazon/aws-lambda-python
• amazon/aws-lambda-java
• amazon/aws-lambda-dotnet
• amazon/aws-lambda-ruby
• amazon/aws-lambda-go
• amazon/aws-lambda-provided

現在標準のランタイムとして提供されている言語はすべてありそうです。
amazon/aws-lambda-providedはTagをみると、ALとかAL2があるようなので、
カスタムランタイム用のようです。

各言語も、例えば、Javaでは、
バージョン8と11が用意されています。

イメージの取得場所なんですが、
FROM public.ecr.aws/lambda/java:11
となっていて、
同じくKeyNoteで発表された
Announcing Amazon ECR Public and Amazon ECR Public Gallery
が早速使われているみたいですね。

Base Imageを使うと、AWSがパッチ当てとかメンテナンスをしてくれると聞いております。

やってみた

コードをがっつり書くつもりはなく（すみません）。コード自体は、公式ドキュメントのAWS Lambda for Javaに記載のあったSample Appsのうち、java-basicのHander.javaを使わさせていただいてます。
ビルド自体はMavenを使ってます（昔に使ってたので）。

DockerfileもDockerhub記載のものをベースにしてます。

FROM public.ecr.aws/lambda/java:11

# Copy function code
COPY target/java-sample-1.0-SNAPSHOT.jar ${LAMBDA_TASK_ROOT}
RUN ls -al
RUN jar -xvf java-sample-1.0-SNAPSHOT.jar
# Set the CMD to your handler (could also be done as a parameter override outside of the Dockerfile)
CMD [ "example.Handler::handleRequest" ]

最初は、jarファイルを${LAMBDA_TASK_ROOT}（/var/task）に配置すれば、
よしなにやってくれるかなと思ったんですが、
そんなわけもなく、
コンパイルされた状態で配置させる必要があるようで、
作成されたjarファイルを解凍してます（めっちゃ下手書きですみません）。

とてもシンプルなJava("Hello Java")と返すようなプログラムだと、
ビルドしたClassファイルだけあれば行けそうだったんですが、
サンプルだと、Googleが提供するJSONデータとJavaオブジェクトを相互に変換するライブラリの＊＊GSON＊＊を使ってて、
それがClassNotFoundExceptionになっちゃうので、この形式にしてます。

久々に使ったので、
もしかしたら、他にいい手段があるかもしれないので、
わかったらアップデートしようかなと思います。

コンテナの中で全部できるかな？ってことでやってみたのがこちら

FROM public.ecr.aws/lambda/java:11

RUN yum -y update && yum -y install wget
RUN wget http://repos.fedorapeople.org/repos/dchen/apache-maven/epel-apache-maven.repo -O /etc/yum.repos.d/epel-apache-maven.repo
RUN sed -i s/\$releasever/6/g /etc/yum.repos.d/epel-apache-maven.repo
RUN yum install -y apache-maven
ENV JAVA_HOME=/usr/lib/jvm/java-11-amazon-corretto.x86_64/

# Copy function code
COPY src/ ${LAMBDA_TASK_ROOT}/src/
COPY pom.xml ${LAMBDA_TASK_ROOT}
RUN mvn package
RUN cp -r target/java-sample-1.0-SNAPSHOT.jar ${LAMBDA_TASK_ROOT}
RUN jar -xvf java-sample-1.0-SNAPSHOT.jar
# Set the CMD to your handler (could also be done as a parameter override outside of the Dockerfile)
CMD [ "example.Handler::handleRequest" ]

こちらもjarファイルを解凍してます（同じく下手書きですみません）。

便利だなと思ったのは、
コンテナを起動して、cUrlなどでアクセスしてローカルテスト可能なのは便利かなと思いました。

docker build -t java-sample-v11 .
Successfully tagged java-sample-v11:latest
docker run -p 9000:8080 java-sample-v11:latest

別ターミナルで、curl -XPOST "http://localhost:9000/2015-03-31/functions/function/invocations" -d '{"payload":"hello world!"}'
って感じで実行すると、問題なければレスポンスがあります。

ログもちゃんと出力されます。
Init Duration: 0.22 ms Duration: 504.55 ms Billed Duration: 600 ms
となっていて、Billed Durationが100ms単位だなーって思いましたが、ローカルなのでw

ENVIRONMENT VARIABLES: {
  "PATH": "/var/lang/bin:/usr/local/bin:/usr/bin/:/bin:/opt/bin",
  "LAMBDA_TASK_ROOT": "/var/task",
  "AWS_LAMBDA_FUNCTION_MEMORY_SIZE": "3008",
  "TZ": ":/etc/localtime",
  "AWS_EXECUTION_ENV": "AWS_Lambda_java11",
  "AWS_LAMBDA_LOG_GROUP_NAME": "/aws/lambda/Functions",
  "AWS_LAMBDA_LOG_STREAM_NAME": "$LATEST",
  "LANG": "en_US.UTF-8",
  "_HANDLER": "example.Handler::handleRequest",
  "LAMBDA_RUNTIME_DIR": "/var/runtime",
  "HOSTNAME": "b10284f7ea25",
  "LD_LIBRARY_PATH": "/var/lang/lib:/lib64:/usr/lib64:/var/runtime:/var/runtime/lib:/var/task:/var/task/lib:/opt/lib",
  "AWS_LAMBDA_FUNCTION_VERSION": "$LATEST",
  "PWD": "/var/task",
  "AWS_LAMBDA_RUNTIME_API": "127.0.0.1:9001",
  "SHLVL": "0",
  "HOME": "/root",
  "AWS_LAMBDA_FUNCTION_NAME": "test_function"
}CONTEXT: {
  "memoryLimit": 3008,
  "awsRequestId": "fc64a0bd-890c-4339-a460-8ecfc5fa1686",
  "logGroupName": "/aws/lambda/Functions",
  "logStreamName": "$LATEST",
  "functionName": "test_function",
  "functionVersion": "$LATEST",
  "invokedFunctionArn": "",
  "deadlineTimeInMs": 3214833340286,
  "logger": {}
}EVENT: {
  "payload": "hello world!"
}EVENT TYPE: class java.util.LinkedHashMapEND RequestId: fc64a0bd-890c-4339-a460-8ecfc5fa1686
REPORT RequestId: fc64a0bd-890c-4339-a460-8ecfc5fa1686  Init Duration: 0.22 ms  Duration: 504.55 ms     Billed Duration: 600 ms Memory Size: 3008 MB    Max Memory Used: 3008 MB

ローカルテストを実行してみて、問題なければ、

1. ECRにレポジトリ作成
2. ECRにログイン
3. TAGづけ
4. ECRにPush、
5. ECRにPushしたイメージを使ってLambdaをデプロイ となります。 2〜４はコンソールでレポジトリ作成すると、ECR上でコマンド出してくれるので、その通りに実行すれば大丈夫そうです。

デプロイして、テスト実行なりして、動けばOKです。

違いあるのかな？

コンテナ利用したLambda関数と普通にjarファイルをアップしてデプロイしたLambda関数で違いあるのかな？っていうのをついでに確認してみました。
両方ともテストイベントのHello World をベースにしたテストイベントを実行してます。

コンテナ

• 初回実行(Cold Start)
  

• 2度目(Warm Start)
  

jarファイルをデプロイ

• 初回実行(Cold Start)
  

• 2度目(Warm Start)
  

直前にTwitterで流れてきて、知ったのですが、
コンテナ利用な場合は、Init処理の時間も課金単位に含まれるようです。

Lambda のコンテナイメージパッケージって初期化時間も課金されるのね。カスタムランタイムと同じ扱いか。 pic.twitter.com/xSrDwI2FPP

— hayao_k (@hayaok3) December 8, 2020

カスタムランタイムも同じなんですね。それは知らなかったです。
Java2度目以降は速いですねー（今更感）。
そして、課金単位がちゃんと1ms単位になってる！

まとめ

AWSJの西谷さんが発表後にブログAWS Lambdaがコンテナをサポートしたのでちょっと試してみたを書かれており、そこで、
「あくまでもLambdaの実行モデルであるファンクションモデルはそのままにランタイムの自由度が増した」
と述べられていますが、その通りかなと思います。

Dockerイメージ用意して、そのままECRにPushして、デプロイできるのは、
Docker上で開発されている開発者にとっては便利なのかもしれませんね。
（普段Docker上で開発してないもので。。。今後の検討課題ではあります）

以前、Amazon Linux２上でビルドしたモジュールを含んだLambdaのパッケージを作ってデプロイするという機会があったのですが、
そういう場合、
Docker上(Amazon Linux2ベースのはず)でモジュールをビルドして、そのままアップロードできるのかなと思ったりしてます。
※あとで試そうかなとは思っています。

ただ、そういう用途でなければ、自分が定常的に使うか。。。と言われると、今のところ、積極的には使わないかなぁーっていうのが結論です。

おまけ

今年の7月に共著でAWS LambdaをはじめとするServerlessでの開発などについて記した基礎から学ぶ サーバーレス開発という本を書かせていただいたのですが、
コンテナサポート以外にも、Lambda Extensions（これre:Invent落選組だったんだな。。。）、課金単位の変更(100ms->1ms)、メモリ量の増加などのアップデートがあったので、本自体もアップデートしない（書いてた時から、すぐに変わっちゃうんだろうなとは思っていましたが）ダメだなぁ。。。なんて思った人です。

---

検証して一気に書き上げたので、至らぬ点があるかもしませんが、ご容赦ください。。。

FileMaker Advent Calendar 2020 8日目の記事です。

最近はAWSにFileMaker Serverをデプロイして利用することも増えてきており、他のAWSサービスと組み合わせてFileMakerを利用している現場も増えてきていると思います。

そのためAWSのREST APIをFileMakerから直接利用するシーンは少なくないはずですが、それに必要な"AWS Signature Version 4"のいい感じの計算式が見当たらなかったので、今回1から作ることにしました。

タイトルにS3とありますが、S3をサンプルの題材に使用しているだけで実際はだいたいのREST APIは同じ方法でアクセスできるはずです。

AWS Signature Version 4とは

AWS Signature Version 4とはAWSのREST APIで必要なSignature（署名）のことです。

具体的にはHTTPヘッダーに下記のようなAuthorizationヘッダー情報を加えてアクセスする必要があります。

Authorizationヘッダー例:

Authorization: AWS4-HMAC-SHA256
 Credential=AKIDEXAMPLE/20150830/us-east-1/iam/aws4_request,
 SignedHeaders=content-type;host;x-amz-date,
 Signature=5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7

※見やすくするために改行を挟んでいますが、実際には改行はされません。

AuthorizationヘッダーのSignature=以降の部分がSignature（署名）です。

Signatureの作成には色々ルールがあり、厳密にこれを守らないと正しいSignatureが作れないため、1から実装するのは結構面倒です。

なので、そのSignatureを含め、HTTPヘッダーをまとめて作る計算式を今回は作成してきました。

S3ダウンロードを実行してみる

まず、サンプルファイルを使ってS3のダウンロードを実行してみましょう。

Step 1. アクセスキーの発行

Signatureの作成にはまずAWS IAMユーザーのAccessKeyID, SecretAccessKeyが必要です。

IAMユーザーはFileMakerファイル毎に作成するのがオススメです。ファイルが多い場合は面倒ですが、ファイル毎にアクセス可能な範囲を細かくコントロールする方が後々便利だと思います。
ユーザー名はファイル名などにしておくとわかりやすくていいと思います（例: FM_FileStore）。

ルートユーザーのアクセスキーでも利用は可能ですが、セキュリティーの観点からルートユーザーのアクセスキーの発行は推奨されてません。

IAM ユーザーのアクセスキーの管理 - AWS Identity and Access Management

Step 2. サンプルファイルのダウンロード

GitHubにサンプルファイル計算式、サンプルファイルを置いておきました。
hazi/FileMaker-AwsSignature: AWS Signature Version 4 in FileMaker formula.

こちらからサンプルファイルをダウンロードしてください。

Step 3. アクセスキーの設定

ファイルを開くと書いてありますが、カスタム関数にAccessKeyID, SecretAccessKeyを保存する形式をとっています（定数としてのカスタム関数の利用）。

AWS.SecretAccessKeyの場合はこんな感じです。

AWS.SecretAccessKey

Let([
  ~yourSecretAccessKey = "wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY";
_=0];
  Case(
    not IsEmpty($AWS_SecretAccessKey); $AWS_SecretAccessKey;
    ~yourSecretAccessKey
  )
)

必要に応じて、スクリプト内でアクセスキーを書き換えられるようになっています。不要な場合は削除してもらっても構いません。

基本的には関数の
~yourAccessKeyID = "AKIDEXAMPLE";
や
~yourSecretAccessKey = "wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY";
の行を書き換えて使用してください。

Step 4. スクリプト修正

S3 Download(path) スクリプトにスクリプト引数を渡すことで、ファイルのダウンロードが可能です。

まず、S3 Download(path) の設定値を変えます。

# Setting
変数を設定 [ $host ; 値: "example.s3.amazonaws.com" ]
変数を設定 [ $region ; 値: "us-east-1" ]

$host は バケット名.s3.amazonaws.com の形式です。
$region は東京の場合は ap-northeast-1 です。

すべて引数で実装してもいいのですが、ファイル内で複数のバケット、リージョンを利用することもあまりないと思うので、あえて固定値にしています。必要に応じて書き換えてください。

Step 5. スクリプト実行

次に、新規にスクリプトを作成し、引数にダウンロードパス（バケットルートからのパス）を指定します。

スクリプト実行 [ 指定: 一覧から ; 「S3 Download(path)」 ; 引数: "/path/to/file.txt" ]
変数を設定 [ $result ; 値: Get(スクリプトの結果) ]

これで実行すればS3のファイルがダウンロードできるはずです。

XMLパース

ここで1つ注意点があります。

S3のAPIの戻り値は基本的XMLです。
XMLを手動でパースするのはなかなか面倒なので、今回はBaseElements Pluginを使用しています。

ファイルのダウンロードだけならそのまま動くかもしれませんが、エラー処理などはBaseElements Pluginがないとうまく動作しません。

BaseElements Pluginを長いこと使っていますが、特段クラッシュしたりということはないので使用をオススメしています。不安な場合やクライアントの関係で難しい方パース部分の計算式を修正してください。

Downloads - BaseElements Plugin Support

サンプル以外のアクセス

S3のDownload, Upload, List など以外にも細かくいろんなアクションがあります。
それらのアクセス方法は公式ドキュメントと、下記の解説を参考に独自に作成してみてください。

Amazon S3 REST API Introduction - Amazon Simple Storage Service
Amazon Simple Storage Service - Amazon Simple Storage Service

実装・引数解説

サンプルファイルの AWS REST API(JSON) がコアなスクリプトとなっており、メインの計算式（#Main Logic コメントの後ろ）の全文はGitHubに別途テキストファイルで上げてありますのでそちらと合わせてご覧ください。

計算式: AWS Signature Version 4.fmfn

ポイントとしては、1つのJSON引数のみで動作するようになっています。
Signatureの作成にはヘッダーやURLの情報がキーになっているので、まずそれらを1つの引数にまとめました。
そうすることで、1ステップでSignatureを生成できるようになっています。

引数の中身はこんな感じです。
基本的にはAWSのAPI解説に出てくる名前そのままなので、APIドキュメントを見ながら使用して頂ければ問題ないと思います。

$AWS4Options

{
  # Required Items
  "service":    "string", # "s3"
  "scheme":     "https",  # (default: "https")
  "host":       "string", # "s3.amazonmws.com"
  "path":       "string", # String starting with a "/" (default: "/")
  "query":      "string", # "?" Not including (default: "")
  "region":     "string", # "ap-northeast-1"
  "httpMethod": "GET",    # (default: "GET")

  # Options
  "httpHeaderJSON": {...} # to curl `--head` option: `{"Content-MD5":"1B2M2Y8AsgTpgAmY7PhCfg==","Content-Type":"text/plain","x-amz-meta-mode":"33188"}`
  "file": null, # Base64Encoded Object: `Base64EncodeRFC(4648; $file)` (default: null)
  "createContentSha256HexHeader": true, # When true, "X-Amz-Content-Sha256" will be automatically generated and added to the header. (default: true)
  "timestampFaceOverride": null, # Force the timestamp to be rewritten For debugging (default: null)
  "curl--FM-return-container-variable": false, # Script always returns the value as an object (default: false)
}

Optionsの内容だけ独自仕様なので少し解説します。

• file
  ファイルをアップロードする場合などに使用します。JSONにはオブジェクト形式のデータを混ぜられないので、Base64Encodeした文字列を受け付けるようになっています。BodyにJSONなどのテキストを渡す場合はJSONをTextEncodeなどでエンコードしファイル化して渡してあげると動作すると思います。
• curl--FM-return-container-variable
  cURLオプションの FM-return-container-variable を有効にします。 テキストファイルをダウンロードする際などにオブジェクトとして受け取らないと誤った文字コードで解釈されて文字化けします。ダウンロード時は基本的にはtrueを指定し、戻り値を適切にTextEncodeを使ってエンコードした方が良いでしょう。デフォルトはfalseです。
• ‌createContentSha256HexHeader
  デフォルトでヘッダーにX-Amz-Content-Sha256を追加する仕様になっています。利用したくない場合にfalseを指定してください。
• timestampFaceOverride
  基本的には使うことはないと思いますが、計算式内で使うタイムスタンプを手動で指定したい場合に使用します。デフォルトでは実行時のタイムスタンプを使用します。
• httpHeaderJSON
  httpヘッダー情報もSignatureを作成する上で必要なため、httpヘッダーに情報を追加する必要がある場合はJSON形式で渡す必要があります。 Content-MD5, Content-Type, x-amz-meta-mode をヘッダーに追加する場合は下記のようなJSONを httpHeaderJSON に追加してください。

$AWS4Options

  {
  #...
    "httpHeaderJSON": {
      "Content-MD5":"1B2M2Y8AsgTpgAmY7PhCfg==",
      "Content-Type":"text/plain",
      "x-amz-meta-mode":"33188"
    }
  }

実装の振り返り

細かい実装の解説は膨大になるので今回は省きます。

基本的にはAWSの指定するロジックをFileMakerに書き換えただけです。
「抽象化のためにヘッダー情報などを全部JSON引数で受け取る」と決めたら意外とスッキリ実装できました。

細かいバグを潰すのに半日かかってしまいましたが、特別なことは何もないです。

改行コードの変更

改行区切りのデータは基本的には ¶ や List() を使っていますが、これはAWSの改行コードとは一致しません。

FileMakerの改行コードはCR(Char(13))なのに対し、AWSはLF(Char(10))です。

最初からChar(10)を使って改行コードを挟んでもいいのですが、見た目に何しているのかよくわからないのと改行コードが混在すると、バグになりやすいので必要時にだけ TextEncode(string; "utf-8"; 3) で改行コードを変更するようにしました。

JSON引数

今更ですが、キーワード引数の代替えとしてJSONが使えるようになったのはとても大いいですね。

今回Base64Encodeを組み合わせることで、オブジェクトのやりとりも問題なく行えることが確認できました（デバッグ中データビュアーを表示して大きいファイルをやりとりすると死にますw）。

引数を作るのが面倒なのでできるだけ使いたくないとか、引数が無限に渡せるから何でもかんでも渡すようにした結果、誰もメンテできないブラックボックスになるなんてことも容易に想像できますが、上限個数をルール化するなどとすれば問題なさそうです。

終わりに

実はサンプルファイルはあまりテストしてません…ちょっと時間がありませんでした。
もしバグってたらコメントかissueください。

あ、あと英語がダメダメなので変だったら教えてください！w

参考

• AWS API リクエストの署名 - AWS 全般のリファレンス
• 【Ruby】AWS署名バージョン4のAuthorization作成手順 - Qiita
• Amazon Simple Storage Service - Amazon Simple Storage Service
• Generate AWS Signature Version 4 in FileMaker | Goya

第1階層 Windows

ファイル名を指定して実行

cmd

Microsoft Windows [Version 10.0.19042.630]
(c) 2020 Microsoft Corporation. All rights reserved.

C:\Users\user>

>echo "Hello, world!"

C:\Users\user>echo "Hello, world!"
"Hello, world!"

第2階層 Ubuntu (WSL)

>wsl

C:\Users\user>wsl
user@DESKTOP-EPGPMTG:/mnt/wsl/docker-desktop-bind-mounts/Ubuntu-20.04/7272****$

$ echo "Hello, world!"

user@DESKTOP-EPGPMTG:/mnt/wsl/docker-desktop-bind-mounts/Ubuntu-20.04/7272****$ echo "Hello, world!"
Hello, world!

第3階層 Amazon Linux (EC2)

$ ssh -i "****.pem" ec2-user@ec2-****.us-east-2.compute.amazonaws.com

user@DESKTOP-EPGPMTG:~$ ssh -i "****.pem" ec2-user@ec2-****.us-east-2.compute.amazonaws.com
Last login: *** ***  * **:**:** 2020 from ****.**.**

       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/
[ec2-user@ip-**** ~]$

$ echo Hello, world!

[ec2-user@ip-**** ~]$ echo Hello, world!
Hello, world!

第4階層 CentOS (Docker)

$ docker run -it centos /bin/bash

[ec2-user@ip-**** ~]$ docker run -it centos /bin/bash
[root@**** /]#

# echo "Hello, world!"

[root@**** /]# echo "Hello, world!"
Hello, world!

第5階層 Python

# yum install python3
# python3

[root@**** /]# yum install python3
[root@**** /]# python3
Python 3.6.8 (default, Apr 16 2020, 01:36:27)
[GCC 8.3.1 20191121 (Red Hat 8.3.1-5)] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>>

>>> print ("Hello, world!")

>>> print ("Hello, world!")
Hello, world!

脱出

>>> exit()
[root@**** /]# exit
exit
[ec2-user@ip-**** ~]$ exit
logout
Connection to ec2-****.us-east-2.compute.amazonaws.com closed.
user@DESKTOP-EPGPMTG:~$ exit
logout

C:\Users\user>exit

エピローグ

　実際の映画（？）ではここで謎の男が出てきてexitと入力すると主人公の存在が消えてしまいます。

　あと、一点つまづいた点として、wslがWindowsディレクトリのままいるとssh接続する時にPermissionエラーが出てしまうので、WSLのフォルダに入れた後にchmod 400しないといけませんでした。WSLからssh接続する時にLoad key "****.pem": bad permissions. Permission denied (publickey,gssapi-keyex,gssapi-with-mic).というエラーが出てくる時は参考ページの通りにやると上手くいきます（検索用要約）。

概要

アプリケーションを作成していて，S3に画像を置いて公開したかった．

既にユーザーからの入力などを保存しておく非公開のバケットを作成していた．

画像を配信するには公開用のバケットを別途作成しなければいけないかと思っていたが，バケットの一部分のファイルのみを公開することができるらしい

これにより1つのアプリケーションで複数のバケットを使用せずに済んだ．
また複数のバケットを作成，管理する必要がなくなった．

手順をメモしておく

やったこと

バケットの一部のフォルダの中に入っているファイルのみパブリックアクセス可能にした．

その他のファイルは全て非公開になっている．

やり方

1. 公開したいバケットのページにいき，アクセス許可からブロックパブリックアクセスを編集
   デフォルトではパブリックアクセスを全てブロックにチェックがついているが，これを外して4つの項目のうち下2つのチェックを外した状態で変更の保存をする．
   

2. バケットポリシーを作成する
   バケットのページのアクセス許可からバケットポリシーを編集する
   バケットポリシーには以下のjsonを記入する

   {
     "Version":"2012-10-17",
     "Statement":[
       {
         "Sid":"AddPerm",
         "Effect":"Allow",
         "Principal": "*",
         "Action":["s3:GetObject"],
         "Resource":["arn:aws:s3:::DOC-EXAMPLE-BUCKET/publicprefix/*"]
         }
     ]
   }

ここでDOC-EXAMPLE-BUCKETにはバケットの名前，publicprefixには公開したいフォルダの名前を書く

以上で一部のフォルダのみを公開することができる．

試しに公開設定をしたフォルダの中のオブジェクトのオブジェクトURL（https://bucket-name.s3-ap-northeast-1.amazonaws.com/hoge/hoge.png のようなurl．各オブジェクトのページに記載されている）を開くと公開されていることがわかる．

また公開設定していないフォルダの中のオブジェクトのオブジェクトURLを開くとアクセス拒否されるのでこちらはきちんと非公開になっていることがわかる．

参考

AWS公式

https://aws.amazon.com/jp/premiumsupport/knowledge-center/read-access-objects-s3-bucket/

こちらのページにはフォルダ以下を公開するやり方以外にもオブジェクトにタグをつけて特定のタグがついているオブジェクトのみ公開する方法なども紹介されている．

XTechグループ Advent Calendar 2020の9日目の担当は、エキサイトのLife&Wellness事業部でエンジニアをしている坂本です。

はじめに

米アップルによって開発されたHLSのシェアが近年拡大されています。HLSとは、HTTP Live Streaming（ストリーミングプロトコル）の略で、アップルが自社iOS向けに開発しました。HTTPベースなので、CDNのキャッシュ技術を利用できます。Androidも対応しますので、個人的に動画配信（VOD）サービスを作りたいのなら、HLS技術採用が最適だと思います。

AWSコンソール上にMediaConvertで簡単に動画形式からhls形式に変換できます。今回は以下のような最低限な構成を作ってみたいと思います。

本稿の範囲で完全にInfrastructure as Codeの紹介が難しいので、自分自身が最も悩んでいたLambdaからMediaConvertのジョブ発行を紹介したいと思います。

事前準備（手動で作成）

S3バケット作成

コンソール上に以下の２つバケットを作成します
① input-excite-mediaconvert-bucket：入稿用のバケット
② converted-excite-mediaconvert-bucket：変換済コンテンツ保管バケット

IAMロール作成

• まず、MediaConvertでジョブ作成のため、ロール付与が必要です。コンソール上にExciteMediaConvertRoleという名前でロールを作成します。設置場所がMediaConvertなので、作成の際にMediaConvert選択になります。

• 次に、LambdaからMediaConvertのジョブを実行するために、Lambda用のExciteLambdaMediaConvertRoleという名前で作成します。MediaConvert用のロールからのPassRole設定が必要です。

ロール名	設置場所	設定ポリシー	意味
ExciteMediaConvertRole	MediaConvert	デフォルト値↓ AmazonS3FullAccess AmazonAPIGatewayInvokeFullAccess	ジョブ作成時に必要なロール
ExciteLambdaMediaConvertRole	Lambda	AmazonS3FullAccess AWSElementalMediaConvertFullAccess	ポリシーにPassRole設定が必要

ExciteLambdaMediaConvertRoleの設定がこのようになります

MediaConvertのジョブ設定をコピーする

AWSコンソール上のMediaConvertからジョブを作成します。ジョブテンプレートを作成して、Lambda上からジョブテンプレートを呼ぶ出す方法もありますが、極力的に手作業を避けたいので、このやり方を使わない。

ジョブ作成の際に最低限で以下の4つ入力が必要です。
- 入力ファイルURL（入稿用バケットのURL）
- 送信先（変換済コンテンツ保管バケットのURL）
- ビットレート：例）「264000」を入力
- 名前修飾子：例）「_hls」を入力

ジョブ作成が完了したら、変換済コンテンツ保管バケットに以下のようなファイルが作成されます。

これでHLS形式に変換が成功しましたので、このジョブの設定をコピーしたいと思います。
- AWSコンソール上の実行したジョブの画面から「JSONのエクスポート」ボタンを押して、JSONファイルをダウンロードしておきます。
- JSON内の「Settings」要素だけ抜き出して、AudioDuration要素削除とバケット情報（OutputGroupSettingsのDestinationとInputsのFileInput）の値を削除（その後Lambda側にこの値を書き換えします）して、「job_setting.json」という名前で保存します。

AudioDuration要素は、任意の設定で動画とオーディオの再生時間の差がきわめて小さい再パッケージのダウンストリームワークフローで出力が消費される場合にのみ指定します。

例）ジョブ設定

{
    "TimecodeConfig": {
      "Source": "ZEROBASED"
    },
    "OutputGroups": [
      {
        "Name": "Apple HLS",
        "Outputs": [
          {
            "ContainerSettings": {
              "Container": "M3U8",
              "M3u8Settings": {
                "AudioFramesPerPes": 4,
                "PcrControl": "PCR_EVERY_PES_PACKET",
                "PmtPid": 480,
                "PrivateMetadataPid": 503,
                "ProgramNumber": 1,
                "PatInterval": 0,
                "PmtInterval": 0,
                "Scte35Source": "NONE",
                "NielsenId3": "NONE",
                "TimedMetadata": "NONE",
                "VideoPid": 481,
                "AudioPids": [
                  482,
                  483,
                  484,
                  485,
                  486,
                  487,
                  488,
                  489,
                  490,
                  491,
                  492
                ]
              }
            },
            "VideoDescription": {
              "ScalingBehavior": "DEFAULT",
              "TimecodeInsertion": "DISABLED",
              "AntiAlias": "ENABLED",
              "Sharpness": 50,
              "CodecSettings": {
                "Codec": "H_264",
                "H264Settings": {
                  "InterlaceMode": "PROGRESSIVE",
                  "NumberReferenceFrames": 3,
                  "Syntax": "DEFAULT",
                  "Softness": 0,
                  "GopClosedCadence": 1,
                  "GopSize": 90,
                  "Slices": 1,
                  "GopBReference": "DISABLED",
                  "SlowPal": "DISABLED",
                  "EntropyEncoding": "CABAC",
                  "Bitrate": 264000,
                  "FramerateControl": "INITIALIZE_FROM_SOURCE",
                  "RateControlMode": "CBR",
                  "CodecProfile": "MAIN",
                  "Telecine": "NONE",
                  "MinIInterval": 0,
                  "AdaptiveQuantization": "AUTO",
                  "CodecLevel": "AUTO",
                  "FieldEncoding": "PAFF",
                  "SceneChangeDetect": "ENABLED",
                  "QualityTuningLevel": "SINGLE_PASS",
                  "FramerateConversionAlgorithm": "DUPLICATE_DROP",
                  "UnregisteredSeiTimecode": "DISABLED",
                  "GopSizeUnits": "FRAMES",
                  "ParControl": "INITIALIZE_FROM_SOURCE",
                  "NumberBFramesBetweenReferenceFrames": 2,
                  "RepeatPps": "DISABLED",
                  "DynamicSubGop": "STATIC"
                }
              },
              "AfdSignaling": "NONE",
              "DropFrameTimecode": "ENABLED",
              "RespondToAfd": "NONE",
              "ColorMetadata": "INSERT"
            },
            "AudioDescriptions": [
              {
                "AudioTypeControl": "FOLLOW_INPUT",
                "CodecSettings": {
                  "Codec": "AAC",
                  "AacSettings": {
                    "AudioDescriptionBroadcasterMix": "NORMAL",
                    "Bitrate": 96000,
                    "RateControlMode": "CBR",
                    "CodecProfile": "LC",
                    "CodingMode": "CODING_MODE_2_0",
                    "RawFormat": "NONE",
                    "SampleRate": 48000,
                    "Specification": "MPEG4"
                  }
                },
                "LanguageCodeControl": "FOLLOW_INPUT"
              }
            ],
            "OutputSettings": {
              "HlsSettings": {
                "AudioGroupId": "program_audio",
                "AudioOnlyContainer": "AUTOMATIC",
                "IFrameOnlyManifest": "EXCLUDE"
              }
            },
            "NameModifier": "_hls"
          }
        ],
        "OutputGroupSettings": {
          "Type": "HLS_GROUP_SETTINGS",
          "HlsGroupSettings": {
            "ManifestDurationFormat": "INTEGER",
            "SegmentLength": 10,
            "TimedMetadataId3Period": 10,
            "CaptionLanguageSetting": "OMIT",
            "Destination": "",
            "TimedMetadataId3Frame": "PRIV",
            "CodecSpecification": "RFC_4281",
            "OutputSelection": "MANIFESTS_AND_SEGMENTS",
            "ProgramDateTimePeriod": 600,
            "MinSegmentLength": 0,
            "MinFinalSegmentLength": 0,
            "DirectoryStructure": "SINGLE_DIRECTORY",
            "ProgramDateTime": "EXCLUDE",
            "SegmentControl": "SEGMENTED_FILES",
            "ManifestCompression": "NONE",
            "ClientCache": "ENABLED",
            "AudioOnlyHeader": "INCLUDE",
            "StreamInfResolution": "INCLUDE"
          }
        }
      }
    ],
    "AdAvailOffset": 0,
    "Inputs": [
      {
        "AudioSelectors": {
          "Audio Selector 1": {
            "Offset": 0,
            "DefaultSelection": "DEFAULT",
            "ProgramSelection": 1
          }
        },
        "VideoSelector": {
          "ColorSpace": "FOLLOW",
          "Rotate": "DEGREE_0",
          "AlphaBehavior": "DISCARD"
        },
        "FilterEnable": "AUTO",
        "PsiControl": "USE_PSI",
        "FilterStrength": 0,
        "DeblockFilter": "DISABLED",
        "DenoiseFilter": "DISABLED",
        "InputScanType": "AUTO",
        "TimecodeSource": "ZEROBASED",
        "FileInput": ""
      }
    ]
  }

Lambdaで変換バッチ作成

AWSコンソール上にLambda関数を作成して、job_setting.jsonも同じところに入れます。

excite-mediaconvert-project/
├── job_setting.json
└── lambda_function.py

Lambdaのアクセス権限にExciteLambdaMediaConvertRoleを付与します。

例）Lambdaの中身

import json
import boto3

region_name = "ap-northeast-1"
endpoint_url = "https://xxxxxxxxx.mediaconvert.ap-northeast-1.amazonaws.com"

convert_client = boto3.client("mediaconvert", region_name=region_name, endpoint_url=endpoint_url)

input_file = "s3://input-excite-mediaconvert-bucket/input.mp4"
output_destination = "s3://converted-excite-mediaconvert-bucket/"
mediaconvert_job_role = "arn:aws:iam::xxxxxxxxx:role/ExciteMediaConvertRole"

def lambda_handler(event, context):
    print("==start mediaconvert job==")

    # ジョブ設定を読み込み
    with open('job_setting.json') as json_data:
        job_settings = json.load(json_data)

    # ジョブ設定の中身を書き換え
    job_settings['Inputs'][0]['FileInput'] = input_file
    job_settings['OutputGroups'][0]['OutputGroupSettings']['HlsGroupSettings']['Destination'] = output_destination

    job = convert_client.create_job(
        Role=mediaconvert_job_role,
        Settings=job_settings
    )

    print(f"job={str(job)}")

これでLambdaを実行すると、上記と同様に出力用のフォルダーにHLS形式のファイルが作成されています。Printしていますので、興味があればジョブ作成のレスポンスも確認できます。

最後に

如何でしょうか。AWS MediaConvertで簡単にストリーミング形式に変換できます。CloudfrontのCookie認証と組み合わせしたら、簡単にプライベート動画配信サービスを実現できると思います。

今回の記事は単純に大きいな動画ファイルから小さいな動画ファイル（約1MB〜2MBが最適）に分割しますので、コンテンツ保護の観点からあまりよろしくないので、実際のプロジェクトでは暗号化など是非ご検討ください。HLSのいいところはシンプルですが、より強固なコンテンツ保護を実現したいのなら、MPEG-DASHが良いかもしれない。

エキサイト株式会社では随時に仲間を募集しております。

基本構文

aws cloudformation describe-stacks --region ap-northeast-1 --profile profile

変数化

REGION=ap-northeast-1 PROFILE=profile
aws cloudformation describe-stacks --region ${REGION} --profile ${PROFILE}

作成順で並び替え

REGION=ap-northeast-1 PROFILE=profile
aws cloudformation describe-stacks --region ${REGION} --profile ${PROFILE} | jq -r '.Stacks | sort_by(.CreationTime)'

スタック名と作成日を抜き出す

REGION=ap-northeast-1 PROFILE=profile
aws cloudformation describe-stacks --region ${REGION} --profile ${PROFILE} | jq -r '.Stacks | .[] | [.StackName, .CreationTime]'

スタック名で特定の文字列が含まれているもの（先頭がooで始まるもの）

下記を入れる

select(.StackName | test("^'${PROJECT_HEADER}'")

コマンド

REGION=ap-northeast-1 PROFILE=profile
PREFIX=my-stack-
aws cloudformation describe-stacks --region ${REGION} --profile ${PROFILE} | jq -r '.Stacks | .[] | select(.StackName | test("^'${PREFIX}'")) | .StackName'

スタック名が特定のスタック名以外（masterやdevelop以外のスタックを表示）

(contains("develop") | not)

REGION=ap-northeast-1 PROFILE=profile
aws cloudformation describe-stacks --region ${REGION} --profile ${PROFILE} | jq -r '.Stacks | .[] | select(.StackName |(contains("develop") | not) and (contains("master") | not) ) | .StackName'

特定の件数を表示

下記のようにすると10件目以降を表示する。

.['10':][]

sort_by(.CreationTime) と組み合わせると最新10件を表示する。（10件目以降の古いスタックを表示）

REGION=ap-northeast-1 PROFILE=profile
LIMIT=10
aws cloudformation describe-stacks --region ${REGION} --profile ${PROFILE} | jq -r '.Stacks | sort_by(.CreationTime) | .['${LIMIT}':][] | .StackName'

古いスタックをすべて表示

これまでのものを組み合わせて利用。

REGION=ap-northeast-1 PROFILE=profile
LIMIT=10
PREFIX=my-stack

aws cloudformation describe-stacks --region ${REGION} --profile ${PROFILE} | jq -r '.Stacks | sort_by(.CreationTime) | .['${LIMIT}':][] | { 'StackName': .StackName, 'CreationTime': .CreationTime } | select(.StackName | test("^'${PREFIX}'") and (contains("develop") | not) and (contains("master") | not) ) | .StackName'

古いスタックを削除する

delete.sh

stacks=$(aws cloudformation describe-stacks --region ${REGION} --profile ${PROFILE} | jq -r '.Stacks | sort_by(.CreationTime) | .['${LIMIT}':][] | { 'StackName': .StackName, 'CreationTime': .CreationTime } | select(.StackName | test("^'${PREFIX}'") and (contains("develop") | not) and (contains("master") | not) ) | .StackName')


for STACK in ${stacks}
do
  read -n1 -p "${STACK} : delete? (y/N):" yn
  echo ""
  case "$yn" in [yY]*) echo "Deleting ${BUCKET_NAME} ...";
   aws cloudformation delete-stack --stack-name ${STACK} --region ${REGION} --profile ${PROFILE};
   echo "done" ;; *) continue ;;
  esac
done

概要

• VPCの作成
• サブネットの作成（パブリックのみ）
• インターネットゲートウェイの設定
• ルートテーブルの設定
• セキュリティーグループの作成
• DBの設置（今回は設置しない）
• EC2インスタンスの作成
• Elastic IPの設定
• デプロイ作業

VPCの作成

• サイダーは推奨の/16で作成。
• IAMロールの権限設定とCloudWatchの料金アラート設定を怠らないこと。

サブネットの作成

• サイダーは推奨の/24で作成。
• AZを1aに設定。

インターネットゲートウェイの設定

• VPCへのアタッチを忘れずに！

ルートテーブルの設定

• フルオープン
• サブネットへのアタッチを忘れずに！

セキュリティグループの作成

• インバウンド：SSH, HTTP, HTTPS
• アウトバウンド：フルオープン

DBの設置

• RDBは設置ぜず、EC2インスタンス内に設置する。
• RDBは有料かつAuroraは非常に高額なので安易に設置しない。

EC2インスタンスの作成

• 無料枠内で作成

Elastic IPの設定

• アタッチしていない場合には料金が発生するので注意。

デプロイ作業

EC2インスタンスの初期設定

• AWS CLIのダウンロード
• インスタンスへアクセス

% mv pemファイルのディレクトリを記述 ~/.ssh
% cd .ssh/
.ssh % chmod 400 ~/.ssh/pemファイル名.pem
.ssh % ssh -i pemファイル名.pem ec2-user@パブリックIPを記述
.ssh % ssh -i ~/.ssh/pemファイル名.pem

• 操作用ユーザーの作成（下記AWS公式ページ前段参照） https://aws.amazon.com/jp/premiumsupport/knowledge-center/new-user-accounts-linux-instance/
• インスタンスの初期設定
• いろいろな方々の資料を参考にしました。必要に応じて取捨選択可能なようです。

[ec2-user|~]$ sudo yum install \ git make gcc-c++ patch \openssl-devel \ libyaml-devel libffi-devel libicu-devel \libxml2 libxslt libxml2-devel libxslt-devel \zlib-devel readline-devel \
mysql mysql-server mysql-devel \ImageMagick ImageMagick-devel \epel-release

• sshを用いたインスタンスへのアクセス（下記AWS公式ページ後段参照） https://aws.amazon.com/jp/premiumsupport/knowledge-center/new-user-accounts-linux-instance/
• 以降、必要に応じてミドルウェア等をダウンロードする。
• secret_key_baseの設定

注意事項

• パブリック IPv4 DNSが表示されていない場合はVPCの設定を修正すること。

- インスタンスに繋がらない場合はセキュリティグループのSSHインバウンドに誤りがないか確認。

個人的なもの

• データベーステーブルのValueがlatin1になっていないか特に注意。また、[client] default-character-set=utf8 [mysql] default-character-set=utf8の順番で書かないとなぜかDBにログインできないので注意。
• DBはDokerとAWSで記述を変更する必要がある。 忘れずに。

default: &default
  adapter: mysql2
  encoding: utf8
  pool: <%= ENV.fetch("RAILS_MAX_THREADS") { 5 } %>
  username: root
  password: password
  socket: /tmp/mysql.sock

  # docker用
  # host: db

はじめに

2020年4月にAWS Fargateのプラットフォームバージョン1.4.0がリリースされ、それに伴い、ECS FargateからAmazon Elastic Filesystem（以下、EFS）が利用できるようになりました。今回これを必要とする要件があり、EFSを初めて利用することになりました。そのため、基本的な概念を整理するために記事にしました。
今回の進め方として、CloudFormation（以下、CFn）で設定が必要な要素を確認しつつ、不明点があればドキュメントを読んで理解していったので、本記事でもCFnの定義をみながらEFSの要素についてみていきたいと思います。

最終的な構成

これから順を追って各コンポーネントについてみていきますが、今回の最終的な構成としては以下のようになります。

サブネットは二つで、それぞれのサブネットにECS Fargate上でタスクが稼働しています。そして、それぞれのタスクからEFSをマウントするという構成です。

CFnの定義

1. ECSの作成

まずはECS FargateをCloudFormationで定義していきます。構成図でいうと以下の赤枠の部分になります。

CloudFormationでは以下のようになります。この段階ではEFSに絡む定義はまだ出てきません。
尚、今回直接関連しないパラメータやサブネットなどの一部のリソースについては省略させていただいております。

  ECSService:
    Type: 'AWS::ECS::Service'
    Properties:
      Cluster: !Ref ECSCluster
      DesiredCount: 2
      LaunchType: 'FARGATE'
      LoadBalancers:
        - ContainerName: 'api'
          ContainerPort: 80
          TargetGroupArn: !Ref ElasticLoadBalancingV2TargetGroupExternal
      NetworkConfiguration:
        AwsvpcConfiguration:
          AssignPublicIp: 'DISABLED'
          SecurityGroups:
            - !Ref EC2SecurityGroupAPI
          Subnets:
            - !Ref EC2SubnetPrivateAppAZ1
            - !Ref EC2SubnetPrivateAppAZ2
      PlatformVersion: '1.4.0'
      TaskDefinition: !Ref ECSTaskDefinition

  ECSTaskDefinition:
    Type: 'AWS::ECS::TaskDefinition'
    Properties:
      Family: efs-test
      RequiresCompatibilities:
        - 'FARGATE'
      Cpu: 1024
      Memory: 2048
      NetworkMode: 'awsvpc'
      ExecutionRoleArn: !GetAtt IAMRoleECSTaskExecution.Arn
      TaskRoleArn: !GetAtt IAMRoleAPI.Arn
      ContainerDefinitions:
        - Image: !Sub ${AWS::AccountId}.dkr.ecr.${AWS::Region}.amazonaws.com/${ECRRepositoryAPI}:latest
          Name: 'api'
          Cpu: 512
          MemoryReservation: 1024
            - ContainerPort: 8080
              HostPort: 80
              Protocol: 'tcp'
          LogConfiguration:
            LogDriver: 'awslogs'
            Options:
              awslogs-group: '/ecs/efs-test'
              awslogs-region: !Ref AWS::Region
              awslogs-stream-prefix: 'ecs'
              awslogs-create-group: true
          Essential: true

  IAMRoleAPI:
    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
        - Effect: 'Allow'
          Principal:
            Service: 'ecs-tasks.amazonaws.com'
          Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - 'arn:aws:iam::aws:policy/AWSOpsWorksCloudWatchLogs'

2. EFS Filesystemの作成

次にEFSファイルシステムを作成していきます。構成図では以下の箇所になります。

ここではバックアップや暗号化の有無、パフォーマンスモード、スループットモードを設定していきます。

  EFSFileSystem:
    Type: 'AWS::EFS::FileSystem'
    Properties:
      BackupPolicy:
        Status: 'ENABLED'
      Encrypted: true
      FileSystemTags:
        - Key: 'Name'
          Value: !Sub 'efs-filesystem'
      FileSystemPolicy:
        Version: '2012-10-17'
        Statement:
          - Effect: 'Allow'
            Action:
              - 'elasticfilesystem:ClientWrite'
              - 'elasticfilesystem:ClientMount'
            Principal:
              AWS: !GetAtt IAMRoleAPI.Arn
      LifecyclePolicies:
        - TransitionToIA: AFTER_30_DAYS 
      PerformanceMode: 'generalPurpose'
      ThroughputMode: 'bursting'

注意点としては、パフォーマンスモードはgeneralPurpose、maxIOから選択可能なのですが、ファイルシステムの作成後は変更できない点です。一般的なファイルサービスとして利用する場合はgeneralPurpose、ビッグデータ解析などのワークロードの場合にmaxIOを選択すると良いと思います。

スループットモードはバーストかプロビジョニングを選択できます。バーストモードは短期間で高いスループットが必要になり、残りの時間は低いスループットで良いワークロードが想定されています。
バーストモードはベースラインとクレジットという概念を抑えておく必要があります。EFSのスループットにはベースラインが設定されており、これを超えるスループットを必要とする場合、クレジットを消費してスループットをバーストすることができます。クレジットを使い切った場合は当然バーストすることはできないため、ベースラインでは不足している場合でもベースラインのスループットのままとなります。クレジットは時間と共に蓄積されていきます。ベースラインのスループットはディスク容量を増やすことであげることができます。

バーストモードではクレジットが常に枯渇するようなワークロードの場合はプロビジョニングを検討します。プロビジョニングは必要なスループットを指定することで、そのスループットを維持できます。ただし、ベースラインのスループットを超えてプロビジョニングされたスループット分に別途課金が発生します。ここで発生する課金は安くないため注意が必要です。

EFSのパフォーマンスについてはこちらのドキュメントにまとめられています。

また、ここで重要な設定としてFileSystemPolicyがあります。これはこのファイルシステムに対してリソースベースのアクセスを制御することが可能になります。今回はECS FargateのIAMRoleからマウント、読み込み、書き込みのアクセスを許可しています。

3. EFS MountTargetの作成

次にEFS マウントターゲットを作成していきます。構成図では以下の箇所になります。

マウントターゲットはEFSにアクセスためのリソースになります。これは耐障害性の観点からAZに一つずつ作成することが推奨されています。AZごとに作成できるマウントターゲットは一つだけのため、一つのAZに複数のサブネットが含まれる場合もマウントターゲットを作成するサブネットを一つ選択して作成します。他のサブネットからは同じAZ内のサブネットに作られたマウントターゲットを利用できます。
また、マウントターゲットにはセキュリティグループをアタッチできるため、EFSのファイアウォールとしての役割も担います。セキュリティグループはport 2049からのアクセスを許可することでアクセス可能になります。

  EFSMountTargetPrivateAppAZ1:
    Type: 'AWS::EFS::MountTarget'
    Properties: 
      FileSystemId: !Ref EFSFileSystem
      SubnetId: !Ref EC2SubnetPrivateAppAZ1
      SecurityGroups: 
        - !Ref EC2SecurityGroupEFS

  EFSMountTargetPrivateAppAZ2:
    Type: 'AWS::EFS::MountTarget'
    Properties: 
      FileSystemId: !Ref EFSFileSystem
      SubnetId: !Ref EC2SubnetPrivateAppAZ2
      SecurityGroups: 
        - !Ref EC2SecurityGroupEFS

  EC2SecurityGroupEFS:
    Type: 'AWS::EC2::SecurityGroup'
    Properties:
      GroupDescription: 'efs-filesystem securitygroup'
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 2049
          ToPort: 2049
          SourceSecurityGroupId: !Ref EC2SecurityGroupAPI
      Tags:
        - Key: 'Name'
          Value: 'efs-filesystem'
      VpcId: !Ref EC2VPC

4. EFS AccessPointの作成

次にアクセスポイントを作成していきます。構成図では以下の箇所になります。

CloudFormationの定義としては以下のようになります。

  EFSAccessPoint:
    Type: 'AWS::EFS::AccessPoint'
    Properties:
      FileSystemId: !Ref EFSFileSystem
      PosixUser:
        Uid: "1001"
        Gid: "1001"

私はこのアクセスポイントを間違って理解してしまい、少しハマりました。ドキュメントには以下のように記載されています。

アクセスポイントを使用すると、アクセスポイントを介したすべてのファイルシステム要求に対してユーザー ID (ユーザーの POSIX グループなど) を適用できます。

ここでいう「適用」が指す意味を「適用するために上書き」してくれるものと勘違いし、それに沿った設定をしたところ、EFSファイルシステムにアクセスする際に Permission Denyが発生しました。挙動を確認したところ、おそらくここは「適用するために指定されたUID、GID以外を弾く」ことを指すようです。
そのため、NFSクライアント側でUID、GIDを設定する必要があります。ECSのタスク定義 or Dockerで特にUID、GIDを指定しない場合はデフォルトでrootユーザーでのアクセスとなるため、同じくPermission Deny が発生します。回避策としてはファイルシステムポリシーに「elasticfilesystem:ClientRootAccess」を設定する方法があります。ただしこれはno_root_squashを設定するのと同等のリスクが生まれるため、リスクを考慮して設定するか判断する必要があります。

5. ECS FargateからEFSをマウントする設定

ここまででEFS側の設定は完了しているので、「 1. ECSの作成」で作成したECSのタスク定義を編集し、EFSをマウントしていきます。

設定箇所としては2箇所になります。
1. Volumeを定義してECSからEFSを認識させる設定
2. ボジュームをタスクからマウントする設定

  ECSTaskDefinition:
    Type: 'AWS::ECS::TaskDefinition'
    Properties:
      Family: efs-test
      RequiresCompatibilities:
        - 'FARGATE'
      Cpu: 1024
      Memory: 2048
      NetworkMode: 'awsvpc'
      ExecutionRoleArn: !GetAtt IAMRoleECSTaskExecution.Arn
      TaskRoleArn: !GetAtt IAMRoleAPI.Arn
      #### ここを追加する。1.に該当する。
      Volumes:
        - Name: 'efs-filesystem'
          EFSVolumeConfiguration:
            AuthorizationConfig:
              AccessPointId: !Ref EFSAccessPoint
              IAM: 'ENABLED'
            FilesystemId: !Ref EFSFileSystem
            TransitEncryption: 'ENABLED'
      #### ここを追加する。1.に該当する。
      ContainerDefinitions:
        - Image: !Sub ${AWS::AccountId}.dkr.ecr.${AWS::Region}.amazonaws.com/${ECRRepositoryAPI}:latest
          Name: 'api'
          Cpu: 512
          MemoryReservation: 1024
            - ContainerPort: 8080
              HostPort: 80
              Protocol: 'tcp'
          LogConfiguration:
            LogDriver: 'awslogs'
            Options:
              awslogs-group: '/ecs/efs-test'
              awslogs-region: !Ref AWS::Region
              awslogs-stream-prefix: 'ecs'
              awslogs-create-group: true
          #### ここを追加する。2.に該当する。
          MountPoints:
            -
              SourceVolume: 'efs-filesystem'
              ContainerPath: '/working'
          #### ここを追加する。2.に該当する。
          Essential: true

以上の設定により、ECS FargateからEFSを利用可能になります。

最後に

EFSを初めて使ってみて、アクセス制御の選択肢が豊富だなという感想を抱きました。
EFSをECSにマウントするCloudFormationの定義は意外と落ちていなかったりするので、参考になれば幸いです。

はじめに

この記事は株式会社ナレッジコミュニケーションが運営する Amazon AI by ナレコム Advent Calendar 2020 の 8日目にあたる記事になります。

AWS が開催する re:Invent 2020 で発表された Amazon SageMaker の新機能である Amazon SageMaker Pipelines を実際に触ってみました。

Amazon SageMaker Pipelines

Amazon SageMaker Pipelines

Amazon SageMaker Pipelines はエンドツーエンドの機械学習ワークフローを管理するための CI/CD サービスです。

Python SageMaker SDK を使用して JSON 形式のパイプラインを定義し、SageMaker studio で視覚的に管理することができます。

機械学習のワークフローには、探索的データ分析やアルゴリズム・パラメーターの設定を行って、トレーニングして本番環境にデプロイというステップがあります。パイプラインの定義部分はコーディングが必要ですが、一度作ってしまえば SageMaker studio 上で実行履歴なども確認できるため、パイプライン開発が爆速になること間違いなしです。

今回はパイプラインの定義の部分を解説していきます。

また本記事では UCI の アワビの年齢データセットを使って SageMaker Pipelines を実際に使ってみます。
こちらの github を参考にしてパイプラインを定義し、生成した JSON ファイルを SageMaker Studio 上で読み込んでいきます。

パイプラインの定義

SageMaker Pipelines では JSON 形式の有効巡回グラフ(DAG)として定義します。定義するには SageMaker Python SDK を使用します。

定義する内容としては

• フィーチャーエンジニアリングステップ(AbaloneProcess)
• トレーニングステップ(AbaloneTrain)
• モデル評価ステップ(AbaloneEval)
• バッチ変換用モデル作成ステップ(AbaloneCreateModel)
• バッチ変換モデル実行ステップ(AbaloneTransform)
• モデルパッケージ作成ステップ(AbaloneRegisterModel)
• モデル検証条件定義ステップ(AbaloneMSECond)

をそれぞれ定義していきます。
完成する DAG は次のようになります。（最終的に SageMaker Studio 上で見れるものです）

今回は SageMaker ノートブックインスタンスを使ってパイプライン定義を作っていきます。

セットアップとデータの準備

まず環境のセットアップを行います。SageMaker セッションを作成します。

import boto3
import sagemaker

# SageMaker セッションの作成
region = boto3.Session().region_name
sagemaker_session = sagemaker.session.Session()
role = sagemaker.get_execution_role()
default_bucket = sagemaker_session.default_bucket()
model_package_group_name = f"AbaloneModelPackageGroupName"

デフォルトのバケットにデータをアップロードします。

# ディレクトリ作成
!mkdir -p data

# パス指定
local_path = "data/abalone-dataset.csv"

# アワビデータのダウンロード
s3 = boto3.resource("s3")
s3.Bucket(f"sagemaker-servicecatalog-seedcode-{region}").download_file(
    "dataset/abalone-dataset.csv",
    local_path
)

# データを自分のバケットにアップロード
base_uri = f"s3://{default_bucket}/abalone"
input_data_uri = sagemaker.s3.S3Uploader.upload(
    local_path=local_path, 
    desired_s3_uri=base_uri,
)
print(input_data_uri)

次にモデル作成後のバッチ変換用のデータをアップロードします。

# パス指定
local_path = "data/abalone-dataset-batch"

# バッチ用アワビデータのダウンロード
s3 = boto3.resource("s3")
s3.Bucket(f"sagemaker-servicecatalog-seedcode-{region}").download_file(
    "dataset/abalone-dataset-batch",
    local_path
)

# データを自分のバケットにアップロード
base_uri = f"s3://{default_bucket}/abalone"
batch_data_uri = sagemaker.s3.S3Uploader.upload(
    local_path=local_path, 
    desired_s3_uri=base_uri,
)
print(batch_data_uri)

ここまででパイプラインに流していくためのデータの準備が完了しました。ここからは実際にパイプラインの中身を作っていきます。

パイプラインパラメータの定義

パイプラインパラメータを定義します。これによってパイプライン定義を変更せずにカスタムパイプラインの実行とスケジュール実行ができるようになります。

from sagemaker.workflow.parameters import (
    ParameterInteger,    # python の int 型
    ParameterString,     # python の str 型
)

# 処理ジョブのインスタンス数
processing_instance_count = ParameterInteger(
    name="ProcessingInstanceCount",
    default_value=1
)

# 処理ジョブの ml.* インスタンスタイプ
processing_instance_type = ParameterString(
    name="ProcessingInstanceType",
    default_value="ml.m5.xlarge"
)

# トレーニングジョブの ml.*
training_instance_type = ParameterString(
    name="TrainingInstanceType",
    default_value="ml.m5.xlarge"
)

# 学習したモデルを CI/CD 目的のために登録する承認ステータス
model_approval_status = ParameterString(
    name="ModelApprovalStatus",
    default_value="PendingManualApproval"
)

# 入力データの S3 バケット URI
input_data = ParameterString(
    name="InputData",
    default_value=input_data_uri,
)

# バッチデータの S3 バケット URI
batch_data = ParameterString(
    name="BatchData",
    default_value=batch_data_uri,
)

フィーチャーエンジニアリングステップ(AbaloneProcess)

パイプラインの最初の処理を定義していきます。こちらの処理の内容となる preprocessing.py というファイルを作成します。

流れとしては読み込んだデータに対して

• 連続値のカラム（「性別」カラム以外）に対する欠損値の処理、スケーリング処理
• 離散値のカラム（「性別」カラム）に対する欠損値の処理、エンコーディング処理

をそれぞれ行い、データをシャッフルして

• トレーニング用データ
• 検証用データ
• テスト用データ

にそれぞれ分割し、出力します。

# ディレクトリ作成
!mkdir -p abalone

ファイルを作成して処理内容を書いていきます。

%%writefile abalone/preprocessing.py

import argparse
import os
import requests
import tempfile

import numpy as np
import pandas as pd

from sklearn.compose import ColumnTransformer
from sklearn.impute import SimpleImputer
from sklearn.pipeline import Pipeline
from sklearn.preprocessing import StandardScaler, OneHotEncoder


# csv ファイルのカラム指定
feature_columns_names = [
    "sex",
    "length",
    "diameter",
    "height",
    "whole_weight",
    "shucked_weight",
    "viscera_weight",
    "shell_weight",
]
label_column = "rings"

# 説明変数のデータ型
feature_columns_dtype = {
    "sex": str,
    "length": np.float64,
    "diameter": np.float64,
    "height": np.float64,
    "whole_weight": np.float64,
    "shucked_weight": np.float64,
    "viscera_weight": np.float64,
    "shell_weight": np.float64
}
# 目的変数のデータ型
label_column_dtype = {"rings": np.float64}

# データ型更新用（説明変数、目的変数連結用）関数
def merge_two_dicts(x, y):
    z = x.copy()
    z.update(y)
    return z

# 直接呼び出し時に実行
if __name__ == "__main__":
    base_dir = "/opt/ml/processing"

    # csv ファイルの読み込み
    df = pd.read_csv(
        f"{base_dir}/input/abalone-dataset.csv",
        header=None, 
        names=feature_columns_names + [label_column],
        dtype=merge_two_dicts(feature_columns_dtype, label_column_dtype)
    )
    # 連続値カラムに対する前処理
    numeric_features = list(feature_columns_names)
    numeric_features.remove("sex")
    numeric_transformer = Pipeline(
        steps=[
            ("imputer", SimpleImputer(strategy="median")),
            ("scaler", StandardScaler())
        ]
    )
    # 離散値カラムに対する前処理
    categorical_features = ["sex"]
    categorical_transformer = Pipeline(
        steps=[
            ("imputer", SimpleImputer(strategy="constant", fill_value="missing")),
            ("onehot", OneHotEncoder(handle_unknown="ignore"))
        ]
    )
    # 前処理をまとめる
    preprocess = ColumnTransformer(
        transformers=[
            ("num", numeric_transformer, numeric_features),
            ("cat", categorical_transformer, categorical_features)
        ]
    )
    # ラベル用カラム（目的変数）を落として前処理を実行
    y = df.pop("rings")
    X_pre = preprocess.fit_transform(df)
    y_pre = y.to_numpy().reshape(len(y), 1)
    # 処理したデータの連結
    X = np.concatenate((y_pre, X_pre), axis=1)

    # シャッフルして分割
    np.random.shuffle(X)
    train, validation, test = np.split(X, [int(.7*len(X)), int(.85*len(X))])

    # データフレームの出力
    pd.DataFrame(train).to_csv(f"{base_dir}/train/train.csv", header=False, index=False)
    pd.DataFrame(validation).to_csv(f"{base_dir}/validation/validation.csv", header=False, index=False)
    pd.DataFrame(test).to_csv(f"{base_dir}/test/test.csv", header=False, index=False)

各ステップはそれぞれステップ定義用のインスタンスに内容を渡して定義します。フィーチャーエンジニアリングのステップは SKLearnProcessor インスタンスに記述して、ProcessingStep に渡します。(ProcessingStep インスタンスはこの後で作ります)

from sagemaker.sklearn.processing import SKLearnProcessor

# フレームワークバージョンも指定できます
framework_version = "0.23-1"

# SKLearnProcessor インスタンスの作成
sklearn_processor = SKLearnProcessor(
    framework_version=framework_version,
    instance_type=processing_instance_type,
    instance_count=processing_instance_count,
    base_job_name="sklearn-abalone-process",
    role=role,
)

フィーチャーエンジニアリング用の ProcessingStep インスタンスを作成し、インプットデータやアウトプットデータや先ほど作成した前処理のコードなどを指定して、ステップを定義します。

from sagemaker.processing import ProcessingInput, ProcessingOutput
from sagemaker.workflow.steps import ProcessingStep

# フィーチャーエンジニアリングステップの定義
step_process = ProcessingStep(
    name="AbaloneProcess",
    processor=sklearn_processor,
    inputs=[
      ProcessingInput(source=input_data, destination="/opt/ml/processing/input"),  
    ],
    outputs=[
        ProcessingOutput(output_name="train", source="/opt/ml/processing/train"),
        ProcessingOutput(output_name="validation", source="/opt/ml/processing/validation"),
        ProcessingOutput(output_name="test", source="/opt/ml/processing/test")
    ],
    code="abalone/preprocessing.py",
)

トレーニングステップ(AbaloneTrain)

XGBoost でモデルトレーニングを行うステップを作成していきます。

from sagemaker.estimator import Estimator

# モデルパスとイメージ URI の指定
model_path = f"s3://{default_bucket}/AbaloneTrain"
image_uri = sagemaker.image_uris.retrieve(
    framework="xgboost",
    region=region,
    version="1.0-1",
    py_version="py3",
    instance_type=training_instance_type,
)
# XGBoost コンテナの呼びだし
xgb_train = Estimator(
    image_uri=image_uri,
    instance_type=training_instance_type,
    instance_count=1,
    output_path=model_path,
    role=role,
)
# ハイパーパラメータの設定
xgb_train.set_hyperparameters(
    objective="reg:linear",
    num_round=50,
    max_depth=5,
    eta=0.2,
    gamma=4,
    min_child_weight=6,
    subsample=0.7,
    silent=0
)

処理内容を TrainingStep インスタンスに渡してトレーニングステップ(AbaloneTrain)を定義します。

from sagemaker.inputs import TrainingInput
from sagemaker.workflow.steps import TrainingStep

# トレーニングステップの定義
step_train = TrainingStep(
    name="AbaloneTrain",
    estimator=xgb_train,
    inputs={
        "train": TrainingInput(
            s3_data=step_process.properties.ProcessingOutputConfig.Outputs[
                "train"
            ].S3Output.S3Uri,
            content_type="text/csv"
        ),
        "validation": TrainingInput(
            s3_data=step_process.properties.ProcessingOutputConfig.Outputs[
                "validation"
            ].S3Output.S3Uri,
            content_type="text/csv"
        )
    },
)

モデル評価ステップ(AbaloneEval)

モデル評価ステップを作成するためにモデル評価処理を記述する evaluation.py ファイルを作成します。XGBoost を使って

• モデルのロード
• テストデータの読み込み
• テストデータに対する予測の発行
• 評価指標(適合率・再現率・F1スコアなど)レポートの作成
• 評価レポートの保存

を行います。

%%writefile abalone/evaluation.py
import json
import pathlib
import pickle
import tarfile

import joblib
import numpy as np
import pandas as pd
import xgboost

from sklearn.metrics import mean_squared_error

# 直接読み込み時に実行
if __name__ == "__main__":
    # モデルパス指定
    model_path = f"/opt/ml/processing/model/model.tar.gz"
　　# tar ファイルの展開
    with tarfile.open(model_path) as tar:
        tar.extractall(path=".")

    # モデルのロード
    model = pickle.load(open("xgboost-model", "rb"))

    # テストデータのデータフレーム作成
    test_path = "/opt/ml/processing/test/test.csv"
    df = pd.read_csv(test_path, header=None)

    # DMatrix に整形
    y_test = df.iloc[:, 0].to_numpy()
    df.drop(df.columns[0], axis=1, inplace=True)
    X_test = xgboost.DMatrix(df.values)

    # テスト実行
    predictions = model.predict(X_test)

    # メトリクスの定義
    mse = mean_squared_error(y_test, predictions)
    std = np.std(y_test - predictions)
    report_dict = {
        "regression_metrics": {
            "mse": {
                "value": mse,
                "standard_deviation": std
            },
        },
    }
    # アウトプット用ディレクトリの作成
    output_dir = "/opt/ml/processing/evaluation"
    pathlib.Path(output_dir).mkdir(parents=True, exist_ok=True)

    # 評価レポートのファイルの作成
    evaluation_path = f"{output_dir}/evaluation.json"
    with open(evaluation_path, "w") as f:
        f.write(json.dumps(report_dict))

ScriptProcessor インスタンスを作成します。（後で ProcessingStep に渡します）

from sagemaker.processing import ScriptProcessor

# ScriptProcessor インスタンスの作成
script_eval = ScriptProcessor(
    image_uri=image_uri,
    command=["python3"],
    instance_type=processing_instance_type,
    instance_count=1,
    base_job_name="script-abalone-eval",
    role=role,
)

処理内容を ProcessingStep に渡してモデル評価ステップを定義します。処理ステップの内容をレポートに格納できるようにもしておきます。

from sagemaker.workflow.properties import PropertyFile

# 処理ステップの内容をレポートに格納するための設定
evaluation_report = PropertyFile(
    name="EvaluationReport",
    output_name="evaluation",
    path="evaluation.json"
)
# モデル評価ステップの定義
step_eval = ProcessingStep(
    name="AbaloneEval",
    processor=script_eval,
    inputs=[
        ProcessingInput(
            source=step_train.properties.ModelArtifacts.S3ModelArtifacts,
            destination="/opt/ml/processing/model"
        ),
        ProcessingInput(
            source=step_process.properties.ProcessingOutputConfig.Outputs[
                "test"
            ].S3Output.S3Uri,
            destination="/opt/ml/processing/test"
        )
    ],
    outputs=[
        ProcessingOutput(output_name="evaluation", source="/opt/ml/processing/evaluation"),
    ],
    code="abalone/evaluation.py",
    property_files=[evaluation_report],
)

バッチ変換用モデル作成ステップ(AbaloneCreateModel)

バッチ変換を行うためのモデルを作成するステップを定義します。 S3ModelArtifacts から SageMaker モデルを作成します。

from sagemaker.model import Model

# SageMaker モデルの作成
model = Model(
    image_uri=image_uri,
    model_data=step_train.properties.ModelArtifacts.S3ModelArtifacts,
    sagemaker_session=sagemaker_session,
    role=role,
)

モデル入力を定義して、作成した SageMaker モデルとともに CreateModelStep に渡してバッチ変換用モデル作成ステップ(AbaloneCreateModel)を定義します。

from sagemaker.inputs import CreateModelInput
from sagemaker.workflow.steps import CreateModelStep

# モデル入力の定義
inputs = CreateModelInput(
    instance_type="ml.m5.large",
    accelerator_type="ml.eia1.medium",
)
# バッチ変換用モデル作成ステップの定義
step_create_model = CreateModelStep(
    name="AbaloneCreateModel",
    model=model,
    inputs=inputs,
)

バッチ変換モデル実行ステップ(AbaloneTransform)

モデルのトレーニング後にバッチ用データに対する変換処理を実行するステップを定義します。適切なコンピューティングインスタンス、インスタンスカウント及びアウトプット先の S3 バケットを指定して Transformer インスタンスを作成します。

from sagemaker.transformer import Transformer

# Transformer インスタンスの定義
transformer = Transformer(
    model_name=step_create_model.properties.ModelName,
    instance_type="ml.m5.xlarge",
    instance_count=1,
    output_path=f"s3://{default_bucket}/AbaloneTransform"
)

TransformStep インスタンスに先ほど作成した Transformer インスタンスとバッチデータの S3 バケットの URI を渡してバッチ変換モデル実行ステップ(AbaloneTransform)を定義します。

from sagemaker.inputs import TransformInput
from sagemaker.workflow.steps import TransformStep

# バッチ変換モデル実行ステップ(AbaloneTransform)
step_transform = TransformStep(
    name="AbaloneTransform",
    transformer=transformer,
    inputs=TransformInput(data=batch_data)
)

モデルパッケージ作成ステップ(AbaloneRegisterModel)

トレーニングステップで指定された Estimator インスタンスを使用して RegisterModel インスタンスを作成します。パイプラインで RegisterModel を実行した結果をモデルパッケージといいます。モデルパッケージには推論に必要な全ての要素をパッケージ化した再利用可能なモデルアーティファクトの抽象化されたもの、というイメージです。
ちなみに model_package_group というのはモデルパッケージの集合体で、パイプラインの実行ごとに新しいバージョンとモデルパッケージがこのグループに追加されていきます。

from sagemaker.model_metrics import MetricsSource, ModelMetrics 
from sagemaker.workflow.step_collections import RegisterModel

# モデルのメトリクスの読み込み
model_metrics = ModelMetrics(
    model_statistics=MetricsSource(
        s3_uri="{}/evaluation.json".format(
            step_eval.arguments["ProcessingOutputConfig"]["Outputs"][0]["S3Output"]["S3Uri"]
        ),
        content_type="application/json"
    )
)
# RegisterModel の定義
step_register = RegisterModel(
    name="AbaloneRegisterModel",
    estimator=xgb_train,
    model_data=step_train.properties.ModelArtifacts.S3ModelArtifacts,
    content_types=["text/csv"],
    response_types=["text/csv"],
    inference_instances=["ml.t2.medium", "ml.m5.xlarge"],
    transform_instances=["ml.m5.xlarge"],
    model_package_group_name=model_package_group_name,
    approval_status=model_approval_status,
    model_metrics=model_metrics,
)

モデル検証条件定義ステップ(AbaloneMSECond)

SageMaker Pipelines では条件ステップを定義して、モデルの評価指標がある閾値を超えたときにモデル登録する、という動きも組み込むことができます。

from sagemaker.workflow.conditions import ConditionLessThanOrEqualTo
from sagemaker.workflow.condition_step import (
    ConditionStep,
    JsonGet,
)

# モデル評価ステップの出力に対する条件定義と mse の読み込み
cond_lte = ConditionLessThanOrEqualTo(
    left=JsonGet(
        step=step_eval,
        property_file=evaluation_report,
        json_path="regression_metrics.mse.value",
    ),
    right=6.0
)

# 条件通過した際の処理
step_cond = ConditionStep(
    name="AbaloneMSECond",
    conditions=[cond_lte],
    if_steps=[step_register, step_create_model, step_transform],
    else_steps=[], 
)

パイプラインの作成

これまでに作成した全てのステップを結合します。

from sagemaker.workflow.pipeline import Pipeline

# AbalonePipeline パイプラインの作成
pipeline_name = f"AbalonePipeline"
pipeline = Pipeline(
    name=pipeline_name,
    parameters=[
        processing_instance_type, 
        processing_instance_count,
        training_instance_type,
        model_approval_status,
        input_data,
        batch_data,
    ],
    steps=[step_process, step_train, step_eval, step_cond],
)

おわりに

次回は定義したパイプラインを SageMaker Studio 上に表示したり実行履歴のトラッキングをしていきたいと思います！

こんにちは、Hamee株式会社でSREとして働いています。大嶋です。
普段はNextEngineのクラウド化案件を担当しています。

この記事はHamee Advent Calendar 2020の9日目になります。
また、前職でテックブログ執筆のために準備していた記事を修正し公開しています。
（公開のタイミングを見失っていたためこのタイミングで公開させてください）
そのためやってみた記事と、今後弊社で個人的に取り入れていきたい仕組みの紹介（提案）となります。

それではAWSマルチアカウント運用時の脅威検出の導入の取り組みについて、紹介させて頂きます。

目次

• 概要
  • 課題
  • 利用AWSサービス説明
    • CloudFormationStackSets
    • GuardDuty
  • 全体イメージ

• CloudFormationStackSets

  • 必要なリソース、用途
  • 構築手順

• GuardDuty

  • 必要なリソース、用途
  • 構築手順

• Slack通知

  • 必要なリソース、用途
  • 構築手順
  • AWS Chatbotとの比較

• まとめ

概要

AWSアカウントを複数所有していて、プロダクト、組織、用途（Dev、Stg、Prod）などで分割され、AWS Organizationsを利用しマルチアカウントを管理しています。
以下の図はre:invent2018での資料（日本語版）ですが、用途ごとにアカウントを分割し管理することをベストプラクティスとしています。

https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf

今後更にアカウントが増加していく可能性がある中で、いくつか課題がありました。

課題

1.　すべてのアカウントの設定が必要な場合はそれぞれのアカウントに都度ログインする必要があり大変
2.　アカウント担当者が適切に外部からの脅威を防げているのか不明であり、セキュリティホールが存在or今後発生する可能性がある

使用AWSサービス概要

今回利用したサービスを紹介させていただきます

CloudFormation StackSets

AWS CloudFormationは弊社でもデフォルトで使われるサービスですが、CloudFormation StackSetsは複数のアカウント及びリージョンに対してスタックを作成、更新、削除できるサービスです。
https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html

今回は大規模マルチアカウントを運用することになり、一つ一つのアカウントに対してCloudFormationを実施する必要があることが今後現実的に厳しいことからCloudFormation StackSetsを採用することにしました。

GuardDuty

悪意のある操作、不正な動作について脅威検出するサービスです。機械学習、異常検出等を利用し、潜在的な脅威なども識別することができます。AWSの複数のサービスを利用しイベントを分析することが可能です。
https://aws.amazon.com/jp/guardduty/

CloudTrail、CloudWatchなどを利用し独自カスタマイズし脅威検出を導入することもできるのですが、今回は以下2つの理由からAWSのマネージド脅威検出サービスであるGuardDutyを採用しました。

• 脅威検出の初手ということでなるべく早く導入したかった
• アカウント数が多くすべてのユースケースに対応したカスタマイズすることが困難であった

全体イメージ

上記サービスを利用し、今回どのような仕組みを構築したのか紹介させて頂きます。
全体イメージとしては以下のようになります

今回はAWSアカウントを3パターンに分けています
1. マスターアカウント
　　AWS Organizationsを管理しているマスターアカウントです。
2. メンバーアカウント（セキュリティ用）
　　マスターアカウントに管理されているメンバーアカウントの中でセキュリティに関することを取り扱うアカウントです。
　　今回はGuardDutyのログ集約やSlack通知を実行します。
3. メンバー（一般）
　　マスターアカウントに管理されているメンバーアカウントです。

また今回はマスターアカウントからCloudFormation StackSetsを実行できるようにするだけでなく、セキュリティに関するCloudFormation StackSetsはメンバーアカウント（セキュリティ用）から実行できる設計にしました。
そうすることでセキュリティ担当者がマスターアカウントにログインする権限が不要になり、マスターアカウントにIAMユーザーを作成する必要がなくなります。
特にマスターアカウントにはセキュリティ担当者など不要なIAMユーザーを作成することは避けたかったことが理由になります。

次からは構築手順を順を追って紹介させて頂きます。

CloudFormationStackSets

必要なリソース、用途

• Administration IAM Role（管理用）
  • マスターアカウントからExecution IAM Role（管理用）を保持しているアカウントに対してCloudFormationStackSetsを実行できるようにするRole
• Execution IAM Role（管理用）
  • メンバーアカウント（セキュリティ用、一般）がCloudFormationStackSetsを実行できるようにするRole
• Administration IAM Role（セキュリティ用）
  • メンバーアカウント（セキュリティ用）からExecution IAM Role（セキュリティ用）を保持しているアカウントに対してCloudFormationStackSetsを実行できるようにするRole
• Execution IAM Role（セキュリティ用）
  • マスターアカウント、メンバーアカウント（一般）がCloudFormationStackSetsを実行できるようにするRole

先程の3パターンのアカウントに配置する各リソースの表はこちらです。

	Administration IAM Role（管理用）	Execution IAM Role（管理用）	Administration IAM Role（セキュリティ用）	Execution IAM Role（セキュリティ用）
マスターアカウント	◯			◯
メンバーアカウント（セキュリティ用）		◯	◯
メンバーアカウント（一般）		◯		◯

このように配置することで、先程記述したマスターアカウントからもメンバーアカウント（セキュリティ用）どちらからもCloudFormationStackSetsが実行できるようになります。

• マスターアカウントから実行する場合
  

• メンバーアカウント（セキュリティ用）から実行する場合

それぞれリソースのコードは以下です。

Administration IAM Role（管理用）

AWSCloudFormationStackSetAdministrationRole.yml

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSCloudFormationStackSetAdministrationRole to enable use of AWS CloudFormation StackSets.

Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSCloudFormationStackSetAdministrationRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: AssumeRole-AWSCloudFormationStackSetExecutionRole
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole"

Execution IAM Role（管理用）

AWSCloudFormationStackSetExecutionRole.yml

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSCloudFormationStackSetExecutionRole to enable use of your account as a target account in AWS CloudFormation StackSets.

Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which StackSets will be created).
    MaxLength: 12
    MinLength: 12

Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSCloudFormationStackSetExecutionRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AdministratorAccess

Administration IAM Role（セキュリティ用）

AWSCloudFormationStackSetAdministrationRoleForOtherAccount.yml

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSCloudFormationStackSetAdministrationRole to enable use of AWS CloudFormation StackSets.

Parameters:
  RoleSuffix:
    Type: String
    Description: IAM Role Suffix.CamelCase highly reccomend. ex) When RoleSuffix is SecurityAccount, AWSCloudFormationStackSetAdministrationRoleForSecurityAccount


Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Sub AWSCloudFormationStackSetAdministrationRoleFor${RoleSuffix}
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: !Sub AssumeRole-AWSCloudFormationStackSetExecutionRoleFor${RoleSuffix}
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - !Sub "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRoleFor${RoleSuffix}"

Execution IAM Role（セキュリティ用）

AWSCloudFormationStackSetExecutionRoleForOtherAccount.yml

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSCloudFormationStackSetExecutionRole to enable use of your account as a target account in AWS CloudFormation StackSets.

Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which StackSets will be created).
    MaxLength: 12
    MinLength: 12
  RoleSuffix:
    Type: String
    Description: IAM Role Suffix.CamelCase highly reccomend. ex) When RoleSuffix is SecurityAccount, AWSCloudFormationStackSetExecutionRoleForSecurityAccount

Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Sub AWSCloudFormationStackSetExecutionRoleFor${RoleSuffix}
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AdministratorAccess

　　

構築手順

マルチアカウントを運用している方に読んで頂いていると思うので、具体的なAWSの操作は省略させていただきます。

手順1

概要	操作アカウント
Administration IAM Role（管理用）を作成	マスターアカウント

以下リンクから作成

手順2

概要	操作アカウント
Exection IAM Role（管理用）を作成	メンバーアカウント（セキュリティ用、一般）

　（今回のみすべてのアカウントにログインが必要になります）

以下リンクから作成

※AdministratorAccountIdには親アカウントのアカウントIDを記入
（アカウントが多い場合はURLのXXX部分を修正すると楽になります）

手順3

概要	操作アカウント
Administration IAM Role（セキュリティ用）を作成	メンバーアカウント（セキュリティ用）

CloudFormationにて必要なリソースで紹介したAdministration IAM Role（セキュリティ用）のAWSCloudFormationStackSetAdministrationRoleForOtherAccount.ymlを実行し、メンバーアカウント（セキュリティ）にIAM Roleを作成
※RoleSuffixには任意で記入　例）SecurityAccount

手順4

概要	操作アカウント
Exection IAM Role（セキュリティ用）を作成	マスターアカウント

CloudFormation StackSetsにて必要なリソースで紹介したExecution IAM Role（セキュリティ用）AWSCloudFormationStackSetExecutionRoleForOtherAccount.ymlを実行し、マスターアカウントとメンバーアカウント（一般）にIAM Roleを作成
※ AdministratorAccountIdには子アカウント（セキュリティ）のアカウントIDを記入
※ RoleSuffixには任意で記入　例）SecurityAccount
※ StackSetsの対象はメンバーアカウント（セキュリティ用）を除くすべてアカウントを指定してください、任意のOUを作成しメンバーアカウント（セキュリティ用）以外を参加させるか、後述するstacksets_accounts.csvを利用

次にGuarDutyを設定していきます　

GuardDuty

必要なリソース、用途

• マスターアカウント、メンバーアカウント（一般）のアカウントID一覧
  • CloudFormation StackSets実行時に対象を指定するために利用します

stacksets_accounts.csv

123456789012,123456789013,・・・・123456789099

• マスターアカウント、メンバーアカウント（一般）のアカウントID、メールアドレス一覧
  • GuardDutyのメンバー招待用のAWSアカウントIDとルートユーザのメールアドレスのcsvファイルです。

※GuardDutyのメンバーアカウントとStackSetsのメンバーアカウントが混同しやすいので注意してください

guardduty_member_accounts.csv

123456789012,aws+123456789012@example.com
123456789013,aws+123456789013@example.com
・・・・
123456789099,aws+123456789099@example.com

構築手順

こちらも同様に具体的な操作は省略させて頂きます。

手順1

概要	操作アカウント
セキュリティアカウントでGuardDuty有効化	セキュリティアカウント

コンソールにログインしサービスからGuardDutyを選択し、有効化します

手順2

概要	操作アカウント
GuardDutyメンバー招待	セキュリティアカウント

準備しておいたguardduty_member_accounts.csvを利用しメンバーに招待します。

手順3

概要	操作アカウント
Stacksetsですべてアカウント、リージョンでGuardDuty有効化	セキュリティアカウント

次にSlackに通知を設定していきます。

Slack通知

必要なリソース、用途

• Slack通知用リソース
  • CloudWatchEventRuleにて制御を入れることで脅威レベルがミディアム、高いものに絞って通知するようにしました。現時点で脅威レベルが低いを含めてしまうと通知が多く重要な脅威検出ができない可能性があったためです。今後少しずつ脅威レベルが低いものを修正した段階で脅威レベルが低いものも通知しようと思ってます。

notify-guardduty-alert.yml

AWSTemplateFormatVersion: 2010-09-09
Description:
  'enable guardduty and set alert'
Parameters:
  SlackWebhookUrl:
    Type: String
    Default: 'https://hooks.slack.com/services/XXXXXXXXX/XXXXXXXX/XXXXXXXXXXXXXXXXXXXXX'
  SlackMentionId:
    Type: String
  SlackMentionName:
    Type: String

Resources:
  LambdaFunctionNotifyAlertFromGuardDuty:
    Type: 'AWS::Lambda::Function'
    Properties:
      Handler: 'index.lambda_handler'
      Runtime: 'python3.7'
      Code: 
        ZipFile: |
          import json
          import os
          import urllib.request

          def get_severity_level(severity, sre_mention):
              # ref: http://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html#guardduty_findings-severity
              if severity == 0.0:
                  level = {'label': 'Information', 'color': 'good', 'mention': ''}
              elif 0.1 <= severity <= 3.9:
                  level = {'label': 'Low', 'color': 'warning', 'mention': ''}
              elif 4.0 <= severity <= 6.9:
                  level = {'label': 'Medium', 'color': 'warning', 'mention': sre_mention}
              elif 7.0 <= severity <= 8.9:
                  level = {'label': 'High', 'color': 'danger', 'mention': sre_mention}
              elif 9.0 <= severity <= 10.0:
                  level = {'label': 'Critical', 'color': 'danger', 'mention': sre_mention}
              else:
                  level = {'label': 'Unknown', 'color': '#666666', 'mention': ''}
              return level

          def format_message(data, sre_mention):
              account_id     = data['detail']['accountId']
              region         = data['detail']['region']
              severity       = data['detail']['severity']
              title          = data['detail']['title']
              description    = data['detail']['description']
              type           = data['detail']['type']
              severity_level = get_severity_level(severity, sre_mention)

              payload = {
                  'username': 'GuardDuty',
                  'text': '{}  GuardDuty Finding in {}'.format(severity_level['mention'], region),
                  'icon_emoji': ':aws:',
                  'attachments': [
                      {
                          'fallback': 'Detailed information on GuardDuty Finding.',
                          'color': severity_level['color'],
                          'title': title,
                          'text': description,
                          'fields': [
                              {
                                  'title': 'Account ID',
                                  'value': account_id,
                                  'short': True
                              },
                              {
                                  'title': 'Severity',
                                  'value': severity_level['label'],
                                  'short': True
                              },
                              {
                                  'title': 'Type',
                                  'value': type,
                                  'short': False
                              }
                          ]
                      }
                  ]
              }
              return payload

          def notify_slack(url, payload):
              data = json.dumps(payload).encode('utf-8')
              method = 'POST'
              headers = {'Content-Type': 'application/json'}
              request = urllib.request.Request(url, data = data, method = method, headers = headers)
              with urllib.request.urlopen(request) as response:
                  return response.read().decode('utf-8')

          def lambda_handler(event, context):
              slack_webhook_url   = os.getenv('SLACK_WEBHOOK_URL')
              slack_mention_id    = os.getenv('SLACK_MENTION_ID')
              slack_mention_name  = os.getenv('SLACK_MENTION_NAME')
              sre_mention         = '<!subteam^%s|%s>' % (slack_mention_id, slack_mention_name)
              payload             = format_message(event, sre_mention)
              response            = notify_slack(slack_webhook_url, payload)
              return response
      MemorySize: 128
      Timeout: 60
      Environment:
        Variables:
          SLACK_WEBHOOK_URL: !Ref SlackWebhookUrl
          SLACK_MENTION_ID: !Ref SlackMentionId
          SLACK_MENTION_NAME: !Ref SlackMentionName
      Role: !GetAtt IAMRoleNotifyAlertFromGuardDuty.Arn

  IAMRoleNotifyAlertFromGuardDuty:
    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: '2008-10-17'
        Statement:
        - Effect: 'Allow'
          Principal:
            Service: 'lambda.amazonaws.com'
          Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

  LambdaPermissionNotifyAlertFromGuardDuty: 
    Type: 'AWS::Lambda::Permission'
    Properties: 
      FunctionName: !Ref LambdaFunctionNotifyAlertFromGuardDuty
      Action: 'lambda:InvokeFunction'
      Principal: 'events.amazonaws.com'
      SourceArn: !GetAtt EventsRuleNotifyAlertFromGuardDutySchedule.Arn

  EventsRuleNotifyAlertFromGuardDutySchedule:
    Type: 'AWS::Events::Rule'
    Properties:
      Description: 'Alert to slack when find threats by GuardDuty'
      EventPattern: |
        {
          'source': [
            'aws.guardduty'
          ],
          'detail-type': [
            'GuardDuty Finding'
          ],
          'detail': {
            'severity': [4.0,4.1,4.2,4.3,4.4,4.5,4.6,4.7,4.8,4.9,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,5.8,5.9,6.0,6.1,6.2,6.3,6.4,6.5,6.6,6.7,6.8,6.9,7.0,7.1,7.2,7.3,7.4,7.5,7.6,7.7,7.8,7.9,8.0,8.1,8.2,8.3,8.4,8.5,8.6,8.7,8.8,8.9,9.0,9.1,9.2,9.3,9.4,9.5,9.6,9.7,9.8,9.9,10.0,4,5,6,7,8,9,10]

          }
        }
      Targets: 
        - Arn: !GetAtt LambdaFunctionNotifyAlertFromGuardDuty.Arn
          Id: 'Slackbot'

  IAMRoleLambdaExecutionNotifyAlertFromGuardDuty:
    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: 'Allow'
            Principal:
              Service: 'events.amazonaws.com'
            Action: 'sts:AssumeRole'  

構築手順

こちらも同様に具体的な操作は省略させて頂きます。

手順1

概要	操作アカウント
SlackにてWebフックURLの取得	-

手順2

概要	操作アカウント
Slack通知を設定	セキュリティアカウント

CloudFormationにて必要なリソースで紹介したnotify-guardduty-alert.ymlを実行し、Slack通知を設定

AWS Chatbotとの比較

今回はLambdaにてSlack通知を実施しましたが、AWS Chatbotも利用を検討しました。
簡単にLambdaを選択した理由をまとめておきます。

	Lambda	AWS Chatbot
Slack対応	可能	可能
GuarDuty対応	可能	可能
脅威レベル絞り込み	可能	可能
メンション	可能	不可能
表示アカウントID	問題のアカウント	セキュリティ用アカウント（セキュリティアカウントにログインして詳細を確認することで問題のアカウントを特定する）
通知例

以上より、メンション可能であること、Slack通知を見た時にどのアカウントで脅威が検出されたのかわかるの2点から今回はLambdaにてSlack通知することとしました。

まとめ

今回は以上の手順にて、AWSマルチアカウント運用時の脅威検出の導入の取り組みについて紹介させて頂きました。
大量のAWSアカウントを運用している場合に、一つ一つのアカウントにログインして設定することは想像以上に大変のため、今回のCloudFormationStackSetsを利用することにより運用の負荷を下げることが可能です。
またGuardDutyを利用し脅威検出を可能にしたため、アカウント運用チームの知らないところでセキュリティインシデント発生も抑制することが可能になるのではと思っております。

参考

https://dev.classmethod.jp/cloud/aws/create-stacksets-iam-role/
https://dev.classmethod.jp/cloud/aws/set-guardduty-all-region/
https://dev.classmethod.jp/cloud/aws/introducing-cloudformation-stacksets/

こんにちは、Hamee株式会社でSREとして働いています。大嶋です。
普段はNextEngineのクラウド化案件を担当しています。

この記事はHamee Advent Calendar 2020の9日目になります。
また、前職でテックブログ執筆のために準備していた記事を修正し公開しています。
（公開のタイミングを見失っていたためこのタイミングで公開させてください）
そのためやってみた記事と、今後弊社で個人的に取り入れていきたい仕組みの紹介（提案）となります。

それではAWSマルチアカウント運用時の驚異検出の導入の取り組みについて、紹介させて頂きます。

目次

• 概要
  • 課題
  • 利用AWSサービス説明
    • CloudFormationStackSets
    • GuardDuty
  • 全体イメージ

• CloudFormationStackSets

  • 必要なリソース、用途
  • 構築手順

• GuardDuty

  • 必要なリソース、用途
  • 構築手順

• Slack通知

  • 必要なリソース、用途
  • 構築手順
  • AWS Chatbotとの比較

• まとめ

概要

AWSアカウントを複数所有していて、プロダクト、組織、用途（Dev、Stg、Prod）などで分割され、AWS Organizationsを利用しマルチアカウントを管理しています。
以下の図はre:invent2018での資料（日本語版）ですが、用途ごとにアカウントを分割し管理することをベストプラクティスとしています。

https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf

今後更にアカウントが増加していく可能性がある中で、いくつか課題がありました。

課題

1.　すべてのアカウントの設定が必要な場合はそれぞれのアカウントに都度ログインする必要があり大変
2.　アカウント担当者が適切に外部からの脅威を防げているのか不明であり、セキュリティホールが存在or今後発生する可能性がある

使用AWSサービス概要

今回利用したサービスを紹介させていただきます

CloudFormation StackSets

AWS CloudFormationは弊社でもデフォルトで使われるサービスですが、CloudFormation StackSetsは複数のアカウント及びリージョンに対してスタックを作成、更新、削除できるサービスです。
https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html

今回は大規模マルチアカウントを運用することになり、一つ一つのアカウントに対してCloudFormationを実施する必要があることが今後現実的に厳しいことからCloudFormation StackSetsを採用することにしました。

GuardDuty

悪意のある操作、不正な動作について脅威検出するサービスです。機械学習、異常検出等を利用し、潜在的な脅威なども識別することができます。AWSの複数のサービスを利用しイベントを分析することが可能です。
https://aws.amazon.com/jp/guardduty/

CloudTrail、CloudWatchなどを利用し独自カスタマイズし脅威検出を導入することもできるのですが、今回は以下2つの理由からAWSのマネージド脅威検出サービスであるGuardDutyを採用しました。

• 脅威検出の初手ということでなるべく早く導入したかった
• アカウント数が多くすべてのユースケースに対応したカスタマイズすることが困難であった

全体イメージ

上記サービスを利用し、今回どのような仕組みを構築したのか紹介させて頂きます。
全体イメージとしては以下のようになります

今回はAWSアカウントを3パターンに分けています
1. マスターアカウント
　　AWS Organizationsを管理しているマスターアカウントです。
2. メンバーアカウント（セキュリティ用）
　　マスターアカウントに管理されているメンバーアカウントの中でセキュリティに関することを取り扱うアカウントです。
　　今回はGuardDutyのログ集約やSlack通知を実行します。
3. メンバー（一般）
　　マスターアカウントに管理されているメンバーアカウントです。

また今回はマスターアカウントからCloudFormation StackSetsを実行できるようにするだけでなく、セキュリティに関するCloudFormation StackSetsはメンバーアカウント（セキュリティ用）から実行できる設計にしました。
そうすることでセキュリティ担当者がマスターアカウントにログインする権限が不要になり、マスターアカウントにIAMユーザーを作成する必要がなくなります。
特にマスターアカウントにはセキュリティ担当者など不要なIAMユーザーを作成することは避けたかったことが理由になります。

次からは構築手順を順を追って紹介させて頂きます。

CloudFormationStackSets

必要なリソース、用途

• Administration IAM Role（管理用）
  • マスターアカウントからExecution IAM Role（管理用）を保持しているアカウントに対してCloudFormationStackSetsを実行できるようにするRole
• Execution IAM Role（管理用）
  • メンバーアカウント（セキュリティ用、一般）がCloudFormationStackSetsを実行できるようにするRole
• Administration IAM Role（セキュリティ用）
  • メンバーアカウント（セキュリティ用）からExecution IAM Role（セキュリティ用）を保持しているアカウントに対してCloudFormationStackSetsを実行できるようにするRole
• Execution IAM Role（セキュリティ用）
  • マスターアカウント、メンバーアカウント（一般）がCloudFormationStackSetsを実行できるようにするRole

先程の3パターンのアカウントに配置する各リソースの表はこちらです。

	Administration IAM Role（管理用）	Execution IAM Role（管理用）	Administration IAM Role（セキュリティ用）	Execution IAM Role（セキュリティ用）
マスターアカウント	◯			◯
メンバーアカウント（セキュリティ用）		◯	◯
メンバーアカウント（一般）		◯		◯

このように配置することで、先程記述したマスターアカウントからもメンバーアカウント（セキュリティ用）どちらからもCloudFormationStackSetsが実行できるようになります。

• マスターアカウントから実行する場合
  

• メンバーアカウント（セキュリティ用）から実行する場合

それぞれリソースのコードは以下です。

Administration IAM Role（管理用）

AWSCloudFormationStackSetAdministrationRole.yml

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSCloudFormationStackSetAdministrationRole to enable use of AWS CloudFormation StackSets.

Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSCloudFormationStackSetAdministrationRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: AssumeRole-AWSCloudFormationStackSetExecutionRole
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole"

Execution IAM Role（管理用）

AWSCloudFormationStackSetExecutionRole.yml

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSCloudFormationStackSetExecutionRole to enable use of your account as a target account in AWS CloudFormation StackSets.

Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which StackSets will be created).
    MaxLength: 12
    MinLength: 12

Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSCloudFormationStackSetExecutionRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AdministratorAccess

Administration IAM Role（セキュリティ用）

AWSCloudFormationStackSetAdministrationRoleForOtherAccount.yml

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSCloudFormationStackSetAdministrationRole to enable use of AWS CloudFormation StackSets.

Parameters:
  RoleSuffix:
    Type: String
    Description: IAM Role Suffix.CamelCase highly reccomend. ex) When RoleSuffix is SecurityAccount, AWSCloudFormationStackSetAdministrationRoleForSecurityAccount


Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Sub AWSCloudFormationStackSetAdministrationRoleFor${RoleSuffix}
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: !Sub AssumeRole-AWSCloudFormationStackSetExecutionRoleFor${RoleSuffix}
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - !Sub "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRoleFor${RoleSuffix}"

Execution IAM Role（セキュリティ用）

AWSCloudFormationStackSetExecutionRoleForOtherAccount.yml

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSCloudFormationStackSetExecutionRole to enable use of your account as a target account in AWS CloudFormation StackSets.

Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which StackSets will be created).
    MaxLength: 12
    MinLength: 12
  RoleSuffix:
    Type: String
    Description: IAM Role Suffix.CamelCase highly reccomend. ex) When RoleSuffix is SecurityAccount, AWSCloudFormationStackSetExecutionRoleForSecurityAccount

Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Sub AWSCloudFormationStackSetExecutionRoleFor${RoleSuffix}
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AdministratorAccess

　　

構築手順

マルチアカウントを運用している方に読んで頂いていると思うので、具体的なAWSの操作は省略させていただきます。

手順1

概要	操作アカウント
Administration IAM Role（管理用）を作成	マスターアカウント

以下リンクから作成

手順2

概要	操作アカウント
Exection IAM Role（管理用）を作成	メンバーアカウント（セキュリティ用、一般）

　（今回のみすべてのアカウントにログインが必要になります）

以下リンクから作成

※AdministratorAccountIdには親アカウントのアカウントIDを記入
（アカウントが多い場合はURLのXXX部分を修正すると楽になります）

手順3

概要	操作アカウント
Administration IAM Role（セキュリティ用）を作成	メンバーアカウント（セキュリティ用）

CloudFormationにて必要なリソースで紹介したAdministration IAM Role（セキュリティ用）のAWSCloudFormationStackSetAdministrationRoleForOtherAccount.ymlを実行し、メンバーアカウント（セキュリティ）にIAM Roleを作成
※RoleSuffixには任意で記入　例）SecurityAccount

手順4

概要	操作アカウント
Exection IAM Role（セキュリティ用）を作成	マスターアカウント

CloudFormation StackSetsにて必要なリソースで紹介したExecution IAM Role（セキュリティ用）AWSCloudFormationStackSetExecutionRoleForOtherAccount.ymlを実行し、マスターアカウントとメンバーアカウント（一般）にIAM Roleを作成
※ AdministratorAccountIdには子アカウント（セキュリティ）のアカウントIDを記入
※ RoleSuffixには任意で記入　例）SecurityAccount
※ StackSetsの対象はメンバーアカウント（セキュリティ用）を除くすべてアカウントを指定してください、任意のOUを作成しメンバーアカウント（セキュリティ用）以外を参加させるか、後述するstacksets_accounts.csvを利用

次にGuarDutyを設定していきます　

GuardDuty

必要なリソース、用途

• マスターアカウント、メンバーアカウント（一般）のアカウントID一覧
  • CloudFormation StackSets実行時に対象を指定するために利用します

stacksets_accounts.csv

123456789012,123456789013,・・・・123456789099

• マスターアカウント、メンバーアカウント（一般）のアカウントID、メールアドレス一覧
  • GuardDutyのメンバー招待用のAWSアカウントIDとルートユーザのメールアドレスのcsvファイルです。

※GuardDutyのメンバーアカウントとStackSetsのメンバーアカウントが混同しやすいので注意してください

guardduty_member_accounts.csv

123456789012,aws+123456789012@example.com
123456789013,aws+123456789013@example.com
・・・・
123456789099,aws+123456789099@example.com

構築手順

こちらも同様に具体的な操作は省略させて頂きます。

手順1

概要	操作アカウント
セキュリティアカウントでGuardDuty有効化	セキュリティアカウント

コンソールにログインしサービスからGuardDutyを選択し、有効化します

手順2

概要	操作アカウント
GuardDutyメンバー招待	セキュリティアカウント

準備しておいたguardduty_member_accounts.csvを利用しメンバーに招待します。

手順3

概要	操作アカウント
Stacksetsですべてアカウント、リージョンでGuardDuty有効化	セキュリティアカウント

次にSlackに通知を設定していきます。

Slack通知

必要なリソース、用途

• Slack通知用リソース
  • CloudWatchEventRuleにて制御を入れることで脅威レベルがミディアム、高いものに絞って通知するようにしました。現時点で脅威レベルが低いを含めてしまうと通知が多く重要な脅威検出ができない可能性があったためです。今後少しずつ脅威レベルが低いものを修正した段階で脅威レベルが低いものも通知しようと思ってます。

notify-guardduty-alert.yml

AWSTemplateFormatVersion: 2010-09-09
Description:
  'enable guardduty and set alert'
Parameters:
  SlackWebhookUrl:
    Type: String
    Default: 'https://hooks.slack.com/services/XXXXXXXXX/XXXXXXXX/XXXXXXXXXXXXXXXXXXXXX'
  SlackMentionId:
    Type: String
  SlackMentionName:
    Type: String

Resources:
  LambdaFunctionNotifyAlertFromGuardDuty:
    Type: 'AWS::Lambda::Function'
    Properties:
      Handler: 'index.lambda_handler'
      Runtime: 'python3.7'
      Code: 
        ZipFile: |
          import json
          import os
          import urllib.request

          def get_severity_level(severity, sre_mention):
              # ref: http://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html#guardduty_findings-severity
              if severity == 0.0:
                  level = {'label': 'Information', 'color': 'good', 'mention': ''}
              elif 0.1 <= severity <= 3.9:
                  level = {'label': 'Low', 'color': 'warning', 'mention': ''}
              elif 4.0 <= severity <= 6.9:
                  level = {'label': 'Medium', 'color': 'warning', 'mention': sre_mention}
              elif 7.0 <= severity <= 8.9:
                  level = {'label': 'High', 'color': 'danger', 'mention': sre_mention}
              elif 9.0 <= severity <= 10.0:
                  level = {'label': 'Critical', 'color': 'danger', 'mention': sre_mention}
              else:
                  level = {'label': 'Unknown', 'color': '#666666', 'mention': ''}
              return level

          def format_message(data, sre_mention):
              account_id     = data['detail']['accountId']
              region         = data['detail']['region']
              severity       = data['detail']['severity']
              title          = data['detail']['title']
              description    = data['detail']['description']
              type           = data['detail']['type']
              severity_level = get_severity_level(severity, sre_mention)

              payload = {
                  'username': 'GuardDuty',
                  'text': '{}  GuardDuty Finding in {}'.format(severity_level['mention'], region),
                  'icon_emoji': ':aws:',
                  'attachments': [
                      {
                          'fallback': 'Detailed information on GuardDuty Finding.',
                          'color': severity_level['color'],
                          'title': title,
                          'text': description,
                          'fields': [
                              {
                                  'title': 'Account ID',
                                  'value': account_id,
                                  'short': True
                              },
                              {
                                  'title': 'Severity',
                                  'value': severity_level['label'],
                                  'short': True
                              },
                              {
                                  'title': 'Type',
                                  'value': type,
                                  'short': False
                              }
                          ]
                      }
                  ]
              }
              return payload

          def notify_slack(url, payload):
              data = json.dumps(payload).encode('utf-8')
              method = 'POST'
              headers = {'Content-Type': 'application/json'}
              request = urllib.request.Request(url, data = data, method = method, headers = headers)
              with urllib.request.urlopen(request) as response:
                  return response.read().decode('utf-8')

          def lambda_handler(event, context):
              slack_webhook_url   = os.getenv('SLACK_WEBHOOK_URL')
              slack_mention_id    = os.getenv('SLACK_MENTION_ID')
              slack_mention_name  = os.getenv('SLACK_MENTION_NAME')
              sre_mention         = '<!subteam^%s|%s>' % (slack_mention_id, slack_mention_name)
              payload             = format_message(event, sre_mention)
              response            = notify_slack(slack_webhook_url, payload)
              return response
      MemorySize: 128
      Timeout: 60
      Environment:
        Variables:
          SLACK_WEBHOOK_URL: !Ref SlackWebhookUrl
          SLACK_MENTION_ID: !Ref SlackMentionId
          SLACK_MENTION_NAME: !Ref SlackMentionName
      Role: !GetAtt IAMRoleNotifyAlertFromGuardDuty.Arn

  IAMRoleNotifyAlertFromGuardDuty:
    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: '2008-10-17'
        Statement:
        - Effect: 'Allow'
          Principal:
            Service: 'lambda.amazonaws.com'
          Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

  LambdaPermissionNotifyAlertFromGuardDuty: 
    Type: 'AWS::Lambda::Permission'
    Properties: 
      FunctionName: !Ref LambdaFunctionNotifyAlertFromGuardDuty
      Action: 'lambda:InvokeFunction'
      Principal: 'events.amazonaws.com'
      SourceArn: !GetAtt EventsRuleNotifyAlertFromGuardDutySchedule.Arn

  EventsRuleNotifyAlertFromGuardDutySchedule:
    Type: 'AWS::Events::Rule'
    Properties:
      Description: 'Alert to slack when find threats by GuardDuty'
      EventPattern: |
        {
          'source': [
            'aws.guardduty'
          ],
          'detail-type': [
            'GuardDuty Finding'
          ],
          'detail': {
            'severity': [4.0,4.1,4.2,4.3,4.4,4.5,4.6,4.7,4.8,4.9,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,5.8,5.9,6.0,6.1,6.2,6.3,6.4,6.5,6.6,6.7,6.8,6.9,7.0,7.1,7.2,7.3,7.4,7.5,7.6,7.7,7.8,7.9,8.0,8.1,8.2,8.3,8.4,8.5,8.6,8.7,8.8,8.9,9.0,9.1,9.2,9.3,9.4,9.5,9.6,9.7,9.8,9.9,10.0,4,5,6,7,8,9,10]

          }
        }
      Targets: 
        - Arn: !GetAtt LambdaFunctionNotifyAlertFromGuardDuty.Arn
          Id: 'Slackbot'

  IAMRoleLambdaExecutionNotifyAlertFromGuardDuty:
    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: 'Allow'
            Principal:
              Service: 'events.amazonaws.com'
            Action: 'sts:AssumeRole'  

構築手順

こちらも同様に具体的な操作は省略させて頂きます。

手順1

概要	操作アカウント
SlackにてWebフックURLの取得	-

手順2

概要	操作アカウント
Slack通知を設定	セキュリティアカウント

CloudFormationにて必要なリソースで紹介したnotify-guardduty-alert.ymlを実行し、Slack通知を設定

AWS Chatbotとの比較

今回はLambdaにてSlack通知を実施しましたが、AWS Chatbotも利用を検討しました。
簡単にLambdaを選択した理由をまとめておきます。

	Lambda	AWS Chatbot
Slack対応	可能	可能
GuarDuty対応	可能	可能
脅威レベル絞り込み	可能	可能
メンション	可能	不可能
表示アカウントID	問題のアカウント	セキュリティ用アカウント（セキュリティアカウントにログインして詳細を確認することで問題のアカウントを特定する）
通知例

以上より、メンション可能であること、Slack通知を見た時にどのアカウントで脅威が検出されたのかわかるの2点から今回はLambdaにてSlack通知することとしました。

まとめ

今回は以上の手順にて、AWSマルチアカウント運用時の驚異検出の導入の取り組みについて紹介させて頂きました。
大量のAWSアカウントを運用している場合に、一つ一つのアカウントにログインして設定することは想像以上に大変のため、今回のCloudFormationStackSetsを利用することにより運用の負荷を下げることが可能です。
またGuardDutyを利用し脅威検出を可能にしたため、アカウント運用チームの知らないところでセキュリティインシデント発生も抑制することが可能になるのではと思っております。

参考

https://dev.classmethod.jp/cloud/aws/create-stacksets-iam-role/
https://dev.classmethod.jp/cloud/aws/set-guardduty-all-region/
https://dev.classmethod.jp/cloud/aws/introducing-cloudformation-stacksets/