AWS認定SAPの執筆開始にあたって環境を構築しました

2021/03/08 2021/04/11

AWS認定ソリューションアーキテクトプロフェッショナル対策本の執筆開始にあたりまして、執筆環境を構築しました。

個別には過去のブログに書いてますが、改めてまとめておきます。
年に1回か2回しか行わない作業ですし、次回にはやり方を変えるかもしれませんので、自動化はしません。

AWS CodeCommitのリポジトリ

AWS CodeCommitで新規のリポジトリを作成しました。
このアカウントは執筆の際にいつも使っているアカウントですので、AWS Code Commitをプライベートリポジトリとして使うに記載のIAMユーザーの[AWS CodeCommitのSSHキー]はすでにセットアップ済です。

AWS CodePipelineの作成

新規のパイプラインを作成しました。

パイプライン名を指定して、IAMロールは別の本のときに作成したものを使用しました。

原稿のZipファイルの保存先は、他の本と同じS3バケットにしました。

ソースでCodeCommitのリポジトリを選択して、パイプラインのトリガーはCloudWatch Events、出力アーティファクトの形式はgitメタデータを含まないZipファイルにしました。

ビルドステージはスキップしました。
誤字脱字の自動チェックとかビルドステージで追加したいですね。
そのうちトライしてみます。

デプロイステージはAmazon S3にして、既存のバケット、オブジェクトキーを指定しました。

CloudWatch Eventsにルールが作成されていました。

AWS Lambdaのトリガー追加

LamndaのIAMロールとは別に署名付きURL作成用のIAMユーザーを作ってアクセスキーを発行しています。
理由は署名付きURLの有効期限を一週間にしたいためです。
IAMロールの場合は有効期限がLamnda関数のインスタンスが起動した際の認証情報が有効な期間のみとなり一週間もちません。

署名付きURL作成用IAMユーザーのIAMポリシー
追加したアーティファクトのオブエジェクトキーのプレフィックスを追加しました。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::writing-y/aws-linux/*",
                "arn:aws:s3:::writing-y/aws-developer-as/*",
                "arn:aws:s3:::writing-y/aws-atuomation-python/*",
                "arn:aws:s3:::writing-y/aws-sap/*"
            ]
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Sid": "VisualEditor0",

"Effect": "Allow",

"Action": "s3:GetObject",

"Resource": [

"arn:aws:s3:::writing-y/aws-linux/*",

"arn:aws:s3:::writing-y/aws-developer-as/*",

"arn:aws:s3:::writing-y/aws-atuomation-python/*",

"arn:aws:s3:::writing-y/aws-sap/*"

]

}

]

}

AWS Lambdaのコード
追加変更はありません。
署名付きURL作成用のIAMユーザーのアクセスキーは環境変数を使っています。
これは、SecretsManagerでローテーション付きで保護したほうがいいですね。
そのうち改善します。

import json
import urllib
import boto3
import os

accesskey = os.environ.get('accesskey', '')
secret = os.environ.get('secret', '')
s3_client = boto3.client(
    's3',
    aws_access_key_id=accesskey,
    aws_secret_access_key=secret
    )

def lambda_handler(event, context):
    print(event)

    bucket = event['Records'][0]['s3']['bucket']['name']
    key = urllib.parse.unquote_plus(event['Records'][0]['s3']['object']['key'])

    presigned_url = s3_client.generate_presigned_url(
        ClientMethod = 'get_object',
        Params = {
            'Bucket' : bucket, 
            'Key' : key

        },
        ExpiresIn = 604800,
        HttpMethod = 'GET'
    )

    sns = boto3.client('sns')
    topic = 'yamashita-mail'
    snsTopicArn = [t['TopicArn'] for t in sns.list_topics()['Topics'] if t['TopicArn'].lower().endswith(':' + topic.lower())][0]

    sns.publish(
        TopicArn=snsTopicArn,
        Message=presigned_url,
        Subject='aws-linux presinedurl',
        MessageStructure='raw'
    )

    print(presigned_url)

import json

import urllib

import boto3

import os

accesskey = os.environ.get('accesskey', '')

secret = os.environ.get('secret', '')

s3_client = boto3.client(

's3',

aws_access_key_id=accesskey,

aws_secret_access_key=secret

)

def lambda_handler(event, context):

print(event)

bucket = event['Records'][0]['s3']['bucket']['name']

key = urllib.parse.unquote_plus(event['Records'][0]['s3']['object']['key'])

presigned_url = s3_client.generate_presigned_url(

ClientMethod = 'get_object',

Params = {

'Bucket' : bucket,

'Key' : key

ExpiresIn = 604800,

HttpMethod = 'GET'

)

sns = boto3.client('sns')

topic = 'yamashita-mail'

snsTopicArn = [t['TopicArn'] for t in sns.list_topics()['Topics'] if t['TopicArn'].lower().endswith(':' + topic.lower())][0]

sns.publish(

TopicArn=snsTopicArn,

Message=presigned_url,

Subject='aws-linux presinedurl',

MessageStructure='raw'

)

print(presigned_url)

S3トリガー

トリガーはプレフィックス単位にしていますので追加しました。

Mac、WorkingCopy(iPhone, iPad)にクローン

PyCharmをインストールしているMacでは次のコマンドを実行。

git clone ssh://git-codecommit.ap-northeast-1.amazonaws.com/v1/repos/aws-sap

1 2	git clone ssh://git-codecommit.ap-northeast-1.amazonaws.com/v1/repos/aws-sap

iPhone、iPadのWorkingCopyからは、アプリのClone機能を使いました。

URLは、ssh://SSHキーID@git-codecommit.リージョンコード.amazonaws.com/パスです。

例 ssh://APKAJMDDPOLPSL7OAYOA@git-codecommit.us-east-1.amazonaws.com/v1/repos/test

動作テスト

iPhoneから編集してコミット、プッシュして、パイプラインが起動して、署名付きURLが作成されることが確認できました。

さて、執筆がんばります。

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】「ポケットスタディ AWS認定デベロッパーアソシエイト」という本を書きました。

【PR】「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS

: MySQL WorkbenchからRDSに接続する

MySQL WorkbenchからAWS RDSのMySQLに接続するために、「 …

: AWSアカウントルートユーザーのMFAでYubicoセキュリティキーを設定した

先日Yubico セキュリティキーを購入して、USBにささなければならないのがな …

: Amazon Glacierのプロビジョニングされた迅速取り出し容量をなぜか購入しました

過去1年ぐらいのAWSコストをCost Explorerで見てまして、10/10 …

: AWS Client VPNの接続ログを確認しました

AWS Client VPNを設定しましたで証明書とかせっかく作ったので、いろい …

: Amazon Elasticsearch ServiceにMySQLのデータを投入してkibanaで可視化してみる

MySQLのデータの可視化にAmazon Elasticsearch Servi …

: AWS Cost Anomaly Detectionでコストモニターを作成しました

[ご利用開始にあたって]を押下しました。このあと画面を説明してくれるツアーがあ …

: S3バケットにWebフォントをアップロードしてCORSを設定する

Webフォントファイルは、モジワク研究さんのマメロンを使用させていただきました。 …

: AWS X-Ray SDK for PythonをOrganizations組織内にLambda Layersで共有しました

ローカルでパッケージ作成インストールコマンドはこちらAWS X-Ray SDK …

: AWS Organizationsからアカウントを新規作成してみて

AWS Organizationsでアカウントを新規作成することがありましたので …

: TuneCoreの売上データCSVをS3に格納してAthenaのクエリをRe:dashのデータソースにして可視化する

先日参加しましたAWS Summit Tokyo 2017で、 [JapanTa …

PREV: MacでGitコマンドを実行して"invalid active developer path"のときの対応
NEXT: freeeのデータや取引データが消えたと思ってものすごく焦った(消えてなかった)