「Amazon Cognitoを用いたAPI Gatewayのアクセス管理」

私はソフテックに入社してから2年目の社員です。
今回、紹介するのはAmazon Cognito(以下Cognitoと表記)を用いたAPI Gatewayのアクセス管理です。
Cognitoの紹介の前に、今回の内容の背景について説明しますと、
実際にお客様から依頼があったというわけではなく、社内研究制度を利用して調査を行いました。（社内研究制度は社内研究費を使用して、ソフテックにとって新技術であるもの、今後のソフテックにとって有益な内容について実施されるものです。）
お客様に提案する予定があり実際に想定される使い方があったため、目的や構成は分かりやすかったと思います。

図1の構成でシステムを作成しました。Cognitoにログインをした場合にのみ、API Gatewayにアクセスすることができるようになります。
具体的には以下の流れでアクセス管理を実現します。

�@

WebブラウザからCognitoにログインする。（ユーザーの作成は別の方法で先に行っておくこととします。）

�A

ログイン時にIDトークンを取得する

�B

IDトークンを用いて、API Gatewayにアクセスする。

図1. 構成図

以下、2章ではCognito、API Gatewayの設定内容を説明します。

2.1 Cognitoでの設定

2.2 API Gatewayでの設定

設定が終わりましたので、構成図の�@〜�Bの順で稼働確認を行います。

�@ ログイン
ログインURLは以下のようにCognitoドメインに加えてレスポンスタイプ※、クライアントID、コールバックURLが必要になります。
「https://{ドメイン名}.auth.{リージョン名}.amazoncognito.com/login?response_type={レスポンスタイプ}&client_id={クライアントID}&redirect_uri={リダイレクトURL}」
※レスポンスタイプは"token"か"code"を選択します。(今回の設定ならtokenを設定します)

図8. ログイン画面

�A IDトークンの取得
ログインに成功するとコールバックURLで設定したページに移動します。URLには「#id_token={IDトークン}」が入っているので、ここからでIDトークンを取得できます。実際の運用で利用する場合はjavascriptなどを利用することになります。

図9. URLからIDトークンの取得

�B IDトークンのテスト
URLからAPI Gatewayにアクセスして確認することもできますが、オーソライザーの設定画面でテストが可能です。応答コードが200になっているのでテスト成功です。

図10. IDトークンのテスト画面

今回は紹介できませんでしたが調査時には、AWSのDynamoDBやLambdaを用いてDynamoDBのテーブルの情報をWebページ上に表形式で表示、操作する機能を作成しました。データは入っていませんが図11のページです。
コールバックURLに図11のページを設定し、読み込んだ際にAPI Gatewayにアクセスしデータを取得するようにしています。

図11. 調査で作成したページ

また、私は別の案件に関わっていたため詳しく内容は分かりませんが調査内容が実際の案件でも活用されて、スマホアプリに警報メールを行うPUSH通知用のAPI Gatewayのアクセス管理で利用しています。
個人的な感想としては、その当時は役にたつのか分からず、分からないことが多く手詰まりで大変なことも多かったですが、実際の案件で利用されたということで意味があったなと思えました。実際に利用されたことでワクワクしたような気持ちです。今後の自分自身の学習や仕事でも何かに役に立つことを想定していくようにしたいと思います。