AWS認定SAPの執筆開始にあたって環境を構築しました

2021/03/08 2021/04/11

AWS認定ソリューションアーキテクトプロフェッショナル対策本の執筆開始にあたりまして、執筆環境を構築しました。

個別には過去のブログに書いてますが、改めてまとめておきます。
年に1回か2回しか行わない作業ですし、次回にはやり方を変えるかもしれませんので、自動化はしません。

AWS CodeCommitのリポジトリ

AWS CodeCommitで新規のリポジトリを作成しました。
このアカウントは執筆の際にいつも使っているアカウントですので、AWS Code Commitをプライベートリポジトリとして使うに記載のIAMユーザーの[AWS CodeCommitのSSHキー]はすでにセットアップ済です。

AWS CodePipelineの作成

新規のパイプラインを作成しました。

パイプライン名を指定して、IAMロールは別の本のときに作成したものを使用しました。

原稿のZipファイルの保存先は、他の本と同じS3バケットにしました。

ソースでCodeCommitのリポジトリを選択して、パイプラインのトリガーはCloudWatch Events、出力アーティファクトの形式はgitメタデータを含まないZipファイルにしました。

ビルドステージはスキップしました。
誤字脱字の自動チェックとかビルドステージで追加したいですね。
そのうちトライしてみます。

デプロイステージはAmazon S3にして、既存のバケット、オブジェクトキーを指定しました。

CloudWatch Eventsにルールが作成されていました。

AWS Lambdaのトリガー追加

LamndaのIAMロールとは別に署名付きURL作成用のIAMユーザーを作ってアクセスキーを発行しています。
理由は署名付きURLの有効期限を一週間にしたいためです。
IAMロールの場合は有効期限がLamnda関数のインスタンスが起動した際の認証情報が有効な期間のみとなり一週間もちません。

署名付きURL作成用IAMユーザーのIAMポリシー
追加したアーティファクトのオブエジェクトキーのプレフィックスを追加しました。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::writing-y/aws-linux/*",
                "arn:aws:s3:::writing-y/aws-developer-as/*",
                "arn:aws:s3:::writing-y/aws-atuomation-python/*",
                "arn:aws:s3:::writing-y/aws-sap/*"
            ]
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Sid": "VisualEditor0",

"Effect": "Allow",

"Action": "s3:GetObject",

"Resource": [

"arn:aws:s3:::writing-y/aws-linux/*",

"arn:aws:s3:::writing-y/aws-developer-as/*",

"arn:aws:s3:::writing-y/aws-atuomation-python/*",

"arn:aws:s3:::writing-y/aws-sap/*"

]

}

]

}

AWS Lambdaのコード
追加変更はありません。
署名付きURL作成用のIAMユーザーのアクセスキーは環境変数を使っています。
これは、SecretsManagerでローテーション付きで保護したほうがいいですね。
そのうち改善します。

import json
import urllib
import boto3
import os

accesskey = os.environ.get('accesskey', '')
secret = os.environ.get('secret', '')
s3_client = boto3.client(
    's3',
    aws_access_key_id=accesskey,
    aws_secret_access_key=secret
    )

def lambda_handler(event, context):
    print(event)

    bucket = event['Records'][0]['s3']['bucket']['name']
    key = urllib.parse.unquote_plus(event['Records'][0]['s3']['object']['key'])

    presigned_url = s3_client.generate_presigned_url(
        ClientMethod = 'get_object',
        Params = {
            'Bucket' : bucket, 
            'Key' : key

        },
        ExpiresIn = 604800,
        HttpMethod = 'GET'
    )

    sns = boto3.client('sns')
    topic = 'yamashita-mail'
    snsTopicArn = [t['TopicArn'] for t in sns.list_topics()['Topics'] if t['TopicArn'].lower().endswith(':' + topic.lower())][0]

    sns.publish(
        TopicArn=snsTopicArn,
        Message=presigned_url,
        Subject='aws-linux presinedurl',
        MessageStructure='raw'
    )

    print(presigned_url)

import json

import urllib

import boto3

import os

accesskey = os.environ.get('accesskey', '')

secret = os.environ.get('secret', '')

s3_client = boto3.client(

's3',

aws_access_key_id=accesskey,

aws_secret_access_key=secret

)

def lambda_handler(event, context):

print(event)

bucket = event['Records'][0]['s3']['bucket']['name']

key = urllib.parse.unquote_plus(event['Records'][0]['s3']['object']['key'])

presigned_url = s3_client.generate_presigned_url(

ClientMethod = 'get_object',

Params = {

'Bucket' : bucket,

'Key' : key

ExpiresIn = 604800,

HttpMethod = 'GET'

)

sns = boto3.client('sns')

topic = 'yamashita-mail'

snsTopicArn = [t['TopicArn'] for t in sns.list_topics()['Topics'] if t['TopicArn'].lower().endswith(':' + topic.lower())][0]

sns.publish(

TopicArn=snsTopicArn,

Message=presigned_url,

Subject='aws-linux presinedurl',

MessageStructure='raw'

)

print(presigned_url)

S3トリガー

トリガーはプレフィックス単位にしていますので追加しました。

Mac、WorkingCopy(iPhone, iPad)にクローン

PyCharmをインストールしているMacでは次のコマンドを実行。

git clone ssh://git-codecommit.ap-northeast-1.amazonaws.com/v1/repos/aws-sap

1 2	git clone ssh://git-codecommit.ap-northeast-1.amazonaws.com/v1/repos/aws-sap

iPhone、iPadのWorkingCopyからは、アプリのClone機能を使いました。

URLは、ssh://SSHキーID@git-codecommit.リージョンコード.amazonaws.com/パスです。

例 ssh://APKAJMDDPOLPSL7OAYOA@git-codecommit.us-east-1.amazonaws.com/v1/repos/test

動作テスト

iPhoneから編集してコミット、プッシュして、パイプラインが起動して、署名付きURLが作成されることが確認できました。

さて、執筆がんばります。

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】「ポケットスタディ AWS認定デベロッパーアソシエイト」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター3年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS

: AWS CloudHSMを起動してみました

なかなか触る機会のないサービス、CloudHSM。起動してみました。手順はユ …

: 「ポケットスタディ AWS認定デベロッパーアソシエイト」を執筆しました

2021年3月６日に、「ポケットスタディ AWS認定デベロッパーアソシエイト」 …

: Amazon Route 53 Resolverを設定確認

Route 53 Resolverを設定しました。東京リージョンのVPCをオン …

: re:Invent 徒歩記(シアトルも)

このブログは、AWS re:invent 2018 Advent Calenda …

: サイトのHTTPステータスを5分おきにチェックして200以外ならSlackに通知する

すいません。ここ最近出費が重なりまして、某監視サービスのプランを有料プランからF …

: AWS CloudWatch LogsエージェントでAmazon EC2上のNginxのaccess.log , error.log , php-fpm error.log , Linuxのmessages , secureログを収集する

参考ページクイックスタート: 実行中の EC2 インスタンスに CloudWa …

: EC2とRDSのMySQLを他のAWSアカウントへ移設する

他のAWSアカウントへシステムごと移設した場合の手順です。構成はEC2とRDS …

: RDS for MySQL のインスタンスタイプ変更

当ブログのデータベースは、RDS for MySQLです。個人利用ですし、障害 …

: LINE BOT AWARDS 2017に応募しました

LINEの友達追加QRです。動作のご確認にどうぞ LINE BOT AWARD …

: JAWS FESTA 2019 Sapporo 参加&当日スタッフ&企業サポーターで！

2019年のJAWS FESTA は札幌です！今回もありがたいことに、所属して …

PREV: MacでGitコマンドを実行して"invalid active developer path"のときの対応
NEXT: freeeのデータや取引データが消えたと思ってものすごく焦った(消えてなかった)