aws as mbaas 〜apiキーとかの話〜

Copylight © Classmethod, Inc.

AWS as MBaaS!!!～APIキーとかの話～

北海道iOS勉強会!クラスメソッド株式会社!

平井祐樹


自己紹介• 平井祐樹、28歳、B型!• 2012年2月入社（CM歴2年4ヶ月ぐらい）!• iOSアプリ開発歴：2年ぐらい!• Webアプリ開発（PHP、js）

2


アジェンダ• MBaaSとAWS!

• AWSをMBaaSとして実際に使ってみた話!• まとめ

3


MBaaSとAWS

4


MBaaSって？• Mobile Backend as a Serviceの略!• エムバース

5


MBaaSって？

6

MBaaSとは、スマートフォンアプリの開発に必要な汎用的機能をAPI、SDKで提供しサーバー側のコードを書くことなく、サーバー連携するスマートフォンアプリを効率よく開発できるようにするクラウドサービスです。!

（参考：NIFTY Cloud）

http://mb.cloud.nifty.com/about.htm


あっち側

MBaaSって？

7

モバイル

・データ集計／取得!・ユーザー管理!・通知

ストレージ

サーバー DB


MBaaSって？

あっち側のことを!よろしくやってくれるサービス

8


MBaaSの選択肢

9

Kii cloud NIFTY CloudParse.com


MBaaSに求めるもの• 認証／アクセス制御!• 共有データストア!• プッシュ通知!• などなど…

10


？？？

11


AWSが使えるんじゃね？？

12


AWSが使えるんじゃね？？• 認証／アクセス制御

13


AWSが使えるんじゃね？？• 共有データストア

14


AWSが使えるんじゃね？？• プッシュ通知

15


AWS SDK• Java/Ruby/PHP/.Netなど様々なプラットフォームごとにSDKが提供されている!

• 当然、iOS（Objective-C）用のSDKもある!• AWS SDKを使用するとAWSのサービスを直接利用できる

16


MBaaSの選択肢

17

Kii cloud NIFTY CloudParse.com


AWS を MBaaSとして!どこまで使えるのか？

18


絶賛検証中！

19


AWSをMBaaSとして!実際に使ってみた話

20


何からやってみよう？

21


とりあえず!iOSアプリからAWS SDKを使って!

S3にアクセスしてみる

22


Amazon S3• AWSの一つとして提供されているオンラインストレージサービス!

• ファイル（S3ではオブジェクトと呼ばれる）はバケットと呼ばれる入れ物にいれて管理する

23


S3に任意のバケットに保存されている!ファイル一覧を表示する!

iOSアプリを作って見よう。

24


どうやってやるの？!何が必要なの？

25


AWS SDKのサンプルを見ている

26


AWS SDKのサンプルIAMユーザーのアクセスキーIDとシークレットキーを用いて、S3にアクセスする。

27


ふぁ？IAM ユーザーって？？

28


IAM• Identity and Access Management!• AWSの権限管理のサービス!• IAM ユーザー、IAM グループ、IAM ロールとかがある

29


IAM ユーザー• 一つのAWSアカウントの下に複数のユーザを作成することができる!

• そのユーザに特定のリソース、サービス、ＡＰＩに関する権限を与えることができる!

• そのユーザーを使ってAWS管理画面にログインしたりAWSのリソースにアクセスできたりする

30


必要なもの• AWS SDK for iOS（v1.7.1）!• IAM ユーザーのアクセスキーIDとシークレットアクセスキー!

• S3のバケットとその中のファイル!• Xcode

31


S3に任意のバケットに保存されている!ファイル一覧を表示する!

iOSアプリを作って見よう。

32


やること1.IAMユーザーのアクセスキーIDとシークレットアクセスキーを取得する!2.S3にバケットとファイルを用意する!

3.iOSアプリを実装する

33


IAMユーザーのアクセスキー ID とシークレットアクセスキーを取得する

34



35



36


1. IAMユーザーのアクセスキー ID とシークレットアクセスキーを取得する

37


S3にバケットとファイルを用意する

38


iOSアプリを実装する

39



40

// アクセスキーIDとシークレットアクセスキーを指定してS3クライアントインスタンスを生成する AmazonS3Client *s3Client = [[AmazonS3Client alloc] initWithAccessKey:@“[アクセスキーID]” withSecretKey:@“[シークレットアクセスキー]”]; // 指定しバケットのファイル一覧を取得する S3ListObjectsRequest *request = [[S3ListObjectsRequest alloc] initWithName:@"ios-s3-sample"]; S3ListObjectsResponse *response = [s3Client listObjects:request]; if (response.error) { NSLog(@"error: %@", response.error); } else { NSArray *objects = response.listObjectsResult.objectSummaries; for (NSString *objectSummary in objects) { NSLog(@"%@", objectSummary); } }


実行！

41


できた！

42


と思いきや

43


AWS SDKのREADMEを見てみると

44


iOSアプリを実装する// アクセスキーIDとシークレットアクセスキーを指定してS3クライアントインスタンスを生成する AmazonS3Client *s3Client = [[AmazonS3Client alloc] initWithAccessKey:@“[アクセスキーID]” withSecretKey:@“[シークレットアクセスキー]”]; // 指定しバケットのファイル一覧を取得する S3ListObjectsRequest *request = [[S3ListObjectsRequest alloc] initWithName:@"ios-s3-sample"]; S3ListObjectsResponse *response = [s3Client listObjects:request]; if (response.error) { NSLog(@"error: %@", response.error); } else { NSArray *objects = response.listObjectsResult.objectSummaries; for (NSString *objectSummary in) { NSLog(@"%@", objectSummary); } }

45

<- NG!!


サンプルではIAMユーザーのアクセスキーIDとシークレットアクセスキーを使ってるけど、実際にはやらないでね～

46


ふぁ？なんで？？

47


で、そこについて調べてみました

48


S3やDynamoDBにアクセスしたい

49

APIキーが必要!!


APIキーとは？• 永続キー (long lived credentials)!

• 一時キー (short lived session credentials)!参考：IAMによるAWS権限管理運用ベストプラクティス (2) ｜ Developers.IO

50

http://dev.classmethod.jp/cloud/aws/iam-bestpractice-2/


APIキーとは？IAMユーザーのアクセスキーIDとシークレットアクセスキーは永続キーの１つ

51


永続キーをモバイルアプリに埋め込むのは非常に危険！

52


WEBアプリの場合

53

サーバー


モバイルアプリの場合

キーが抜かれる想定していない経路から!アクセスされてしまう！


永続キーを悪用されると・・・• 想定していない経路（別のアプリなど）からAWSリソースにアクセスされてしまう!

• 場合によっては元のサービスを妨害されてしまう

55


そもそも永続キーを使うと・・・• 永続キーを共通で使用すると、認証やらアクセス制限ができない

56


永続キーではなく!一時キーを使おう！

57


で、どうやって一時キーを使うの？

58


一時キー使う• Security Token Service (STS)!• IAMに従属するサブプロダクト的な位置付け!

• IAMロールに設定された権限を持った一時キーを入手することができる!

参考：IAMロール徹底理解～ AssumeRoleの正体｜ Developers.IO

59

http://dev.classmethod.jp/cloud/aws/iam-role-and-assumerole/


IAMロール• AWSの各種サービスにアクセスする際の権限を設定できる仕組み

60


STSを使えば、IAMロールの持つ権限を一時的に付与してもらうことが可能

61


一時キーを取得する手段• 自前のサーバーを用意して一時キーを発行してもらう!

• Facebook／Google／Amazon.comアカウントを使用する

62

<- サーバーサイドの技術も必要・・・

<- AWSだけでもいける！


ということで、実際にFacebook認証を使ってAWSの一時キーを取得してみる

63


よくあるサンプル

64

IAMユーザーのアクセスキーとシークレットキーを用いて、S3にアクセスする。


よくあるサンプル（改）• Facebook認証を使って取得したAWSの一時キーを用いて、S3に保存されている自分だけのファイル一覧を表示する。

65


よくあるサンプル（改）1.S3にバケットを用意する!

2.Facebookアプリケーションを作成する!

3.IAMロールを作成する!

4.iOSアプリを実装する

66


S3にバケットを用意する• このサンプルアプリで使用するS3のバケットを作成する!

• このバケット配下でFacebookアカウントごとにフォルダを分けて管理するようにする

67


Facebookアプリを作成する

68



69



70



71



72



73


ロールを作成する

74



75



76



77



78

Copylight © Classmethod, Inc. 79

{! "Version": "2012-10-17",! "Statement": [! {! "Effect": "Allow",! "Action": ["s3:ListBucket"],! "Resource": ["arn:aws:s3:::ios-s3-sample-bucket"],! "Condition": {! "StringLike": {! "s3:prefix": "${graph.facebook.com:id}/*"! }! }! },! {! "Effect":"Allow",! "Action":["s3:GetObject", "s3:PutObject", "s3:DeleteObject"],! "Resource":[! "arn:aws:s3:::ios-s3-sample-bucket/${graph.facebook.com:id}",! "arn:aws:s3:::ios-s3-sample-bucket/${graph.facebook.com:id}/*"! ]! }! ]!}



80



81



82

Copylight © Classmethod, Inc. 83

// Facebook認証を実行する FBSession *session; [session openWithCompletionHandler:^(FBSession *session, FBSessionState status, NSError *error) { // Facebook認証で取得したトークンでAWSから一時キーを取得する NSString *role = @“arn:aws:iam::xxxxx:role/FacebookWIFS3FileStore”; NSString *accessToken = session.accessTokenData.accessToken; AmazonWIFCredentialsProvider *wif = [[AmazonWIFCredentialsProvider alloc] initWithRole:role andWebIdentityToken:accessToken fromProvider:@"graph.facebook.com"]; if (wif.subjectFromWIF) { // Facebookアカウントで取得した一時キーを指定してS3クライアントインスタンスを生成する AmazonS3Client *s3Client = [[AmazonS3Client alloc] initWithCredentialsProvider:self.wif]; // あとはファイルを閲覧したりアップロードしたり削除したり・・・ } }];


まとめ• 永続キーではなく一時キーを使え!• ことAWS as MBaaSではその手段は

Facebook／Google／Amazon.comアカウントを使用する方法しかなさそう

84

aws as mbaas 〜apiキーとかの話〜

Engineering