Amazon Cognito ユーザープールエンドポイントへのアクセスパターンを考える

こんにちは ! AWS Community Hero の山口です。みなさん、Amazon Cognito は使われていますか ?

ウェブアプリケーションまたはモバイルアプリケーションを開発する際、ユーザーごとにデータへのアクセス制御や権限制御など、認証と認可が機能として求められることがあります。現在では、認証・認可が求められないケースの方が少ないと言っても過言ではないと思います。

そのような時に、Amazon Cognito ユーザープール (以降、Cognito ユーザープール) を利用することで素早く簡単にユーザーのサインアップ / サインイン (認証) を提供することや、認証された結果にもとづくアクセス制御を実装することができます。また、Cognito ユーザープールは、OpenID Connect、OAuth 2.0、SMAL2.0 などの標準化された認証・認可プロトコルをサポートするため、ウェブアプリケーションおよびモバイルアプリケーションに対して、汎用性の高い認証・認可の機能を追加することができます。

Cognito ユーザープールは、認可エンドポイント、トークンエンドポイント、UserInfo エンドポイント、ログインエンドポイント、ログアウトエンドポイント、revoke エンドポイント、ユーザープール API エンドポイントなど複数のエンドポイントが提供されています。Cognito はリージョンサービスのため、ユーザープールのエンドポイントはパブリック IP アドレス (実際には DNS 名) で提供されています。

アプリケーションの要件によっては、プライベートサブネットに配置されたバックエンドサービスからこれらのエンドポイントへリクエストが必要となるケースがありますが、本記事を執筆している時点では Amazon Cognito ユーザープールのエンドポイントは VPC エンドポイントがサポートされていません。Amazon Cognitoユーザープールのエンドポイントへ接続するためにはインターネットへの到達性を確保している必要があります (ただし、トラフィックは実際にインターネットを通過するものではありません。AWS のサービスエンドポイントにアクセスするためにはインターネットへの到達性が必要ですが、トラフィックは AWS グローバルネットワークに留まります)。

筆者は Cognito ユーザープールを用いたシステムを設計する際、プライベートサブネットに配置されたバックエンドサービスから Cognito ユーザープールの各エンドポイントへのアクセスを可能とする構成をいくつかのパターンに分け、要件にあった構成を選択しています。

今回は、サンプルとしてベースとするシステム構成をもとに構成パターン、各構成を採用する際のメリットとデメリットを説明します。

X ポスト » | Facebook シェア » | はてブ »

builders.flash メールメンバー登録で、毎月の最新アップデート情報とともに、AWS を無料でお試しいただけるクレジットコードを受け取ることができます。 

今回ベースとなるシステム構成はこちらです。

今回ベースとするシステムは、Amazon CloudFront から配信される静的 Web ページを通じて、認証を Cognito ユーザープールで提供し、バックエンドサービスは Cognito ユーザープールが発行する ID トークンをもとに API へのアクセス制御を提供します。

バックエンドサービスは、アクセストークンの検証、本システムへの API にアクセスするためのトークン取り消しなどを行うため、JSON Web Key (JWK) のダウンロード URL や Cognito ユーザープールエンドポイントにアクセス可能であることという要件があります。

それではバックエンドサービスが Cognito ユーザープール エンドポイントにアクセスするための方法をパターンごとに見ていきましょう。

バックエンドサービスから Cognito ユーザープール エンドポイントへのアクセス経路として、 NAT ゲートウェイ を利用するパターンです。バックエンドサービスのインターネットフェイシングを避けるために、サブネット分離を維持する構成としては王道パターンと言えるのではないでしょうか。

パブリックサブネットに常時起動しているサーバーがある場合、フォワード Proxy として稼働させ、バックエンドサービスから Cognito ユーザープール エンドポイントへ、これらのフォワード Proxy を経由してアクセスするパターンです。既存リソースの活用を優先する場合に採用を検討することがあります。

バックエンドサービスをパブリックサブネットに配置し、Cognito ユーザープール エンドポイントへ直接アクセス可能とするパターンです。もっともシンプルで Cognito ユーザープール エンドポイントへの到達性を高く維持できる構成となります。バックエンドサービスのインターネットフェイシングが許容される環境 (サブネット分離が求められない環境) において、採用可能なパターンとなります。

AWS のセキュリティベストプラクティスでは、特別な理由がない限り Amazon EC2 インスタンスにパブリック IP を割り当てないというチェック項目がありますので、採用の際にセキュリティ上のリスクと対策、他の 2 パターンを利用しない理由を事前に検討することを推奨します。

今回は Amazon Cognito ユーザープール エンドポイントへアクセスする際の設計パターンをテーマとしましたが、外部 API やインターネットへの到達性が必要な場合にも同様かと思います。

尊敬する先輩から「システムアーキテクチャの正解は 1 つではない」と教えていただいたことがあります。機能 / 非機能要件、リリース後の体制、事業計画などの条件や状況に応じて、あるべきシステムの形は変わります。

この記事が皆さまの AWS アーキテクチャにお役に立てれば幸いです。
最後まで読んでいただき、ありがとうございました。