kintoneでEveryoneに権限が設定されているアプリをAWS Lambdaで一括チェックする

2017/10/20

こないだ、kintone Cafeでユーザーが自由に作成している環境だと、どんなアクセス権設定をしているのか見えないのが、ガバナンス的に課題ですな〜みたいな話をしてましたので、とりあえず簡易的にチェック出来るものをAWS Lambdaで作ってみました。

コードはこちらGithubです。

ランタイムはPython3.6です。

ドメインのアプリ一覧を取得

response = requests.get(
    'https://{domain}/k/v1/apps.json?offset={offset}'.format(
        domain=kintone_domain,
        offset=str(i)
    ),
    headers=headers
)

response = requests.get(

'https://{domain}/k/v1/apps.json?offset={offset}'.format(

domain=kintone_domain,

offset=str(i)

headers=headers

)

k/v1/apps.jsonでドメインのアプリ情報一覧を取得します。

Headerにはユーザー認証で

単体のアプリに対してのAPIではないので、APIトークンは使えないので、ユーザー認証を使います。

headers = {
    'X-Cybozu-Authorization': base64.b64encode(
        '{id}:{password}'.format(
            id=kintone_id,
            password=kintone_password
         ).encode('utf-8')
    )
}

headers = {

'X-Cybozu-Authorization': base64.b64encode(

'{id}:{password}'.format(

id=kintone_id,

password=kintone_password

).encode('utf-8')

)

}

X-Cybozu-Authorizationにbase64エンコードした、「ユーザーID:パスワード」をセットします。

レスポンス

{
    "apps": [
        {
            "appId": "5",
            "code": "",
            "name": "日報",
            "description": "<br />",
            "createdAt": "2013-04-11T06:29:38.000Z",
            "creator": {
                "code": "Administrator",
                "name": "Administrator"
            },
            "modifiedAt": "2013-04-11T06:43:09.000Z",
            "modifier": {
                "code": "Administrator",
                "name": "Administrator"
            },
            "spaceId": null,
            "threadId": null
        },
        {
            "appId": "13",
            "code": "",
            "name": "案件管理",
            "description": "<br />",
            "createdAt": "2013-04-11T08:22:59.000Z",
            "creator": {
                "code": "Administrator",
                "name": "Administrator"
            },
            "modifiedAt": "2014-03-13T10:51:07.000Z",
            "modifier": {
                "code": "Administrator",
                "name": "Administrator"
            },
            "spaceId": null,
            "threadId": null
        }
    ]
}

{

"apps": [

{

"appId": "5",

"code": "",

"name": "日報",

"description": "<br />",

"createdAt": "2013-04-11T06:29:38.000Z",

"creator": {

"code": "Administrator",

"name": "Administrator"

"modifiedAt": "2013-04-11T06:43:09.000Z",

"modifier": {

"code": "Administrator",

"name": "Administrator"

"spaceId": null,

"threadId": null

{

"appId": "13",

"code": "",

"name": "案件管理",

"description": "<br />",

"createdAt": "2013-04-11T08:22:59.000Z",

"creator": {

"code": "Administrator",

"name": "Administrator"

"modifiedAt": "2014-03-13T10:51:07.000Z",

"modifier": {

"code": "Administrator",

"name": "Administrator"

"spaceId": null,

"threadId": null

}

]

}

appsにアプリごとの情報が配列で最大100件返ります。

1度に100件なので

for i in range(0,100000,100):

1 2	for i in range(0,100000,100):

雑ですが、とりあえず10万アプリまで(タイムアウトするんじゃ。。。。)

なので、offsetで0件目から、100件目から,200件目からと順番に取得するようにしてます。

アプリごとに実処理をするLambdaに情報を渡す

client_lambda = boto3.client("lambda")

for app in response_dict['apps']:
    client_lambda.invoke(
        FunctionName=lambda_name,
        InvocationType="Event",
        Payload=json.dumps(app)
    )

client_lambda = boto3.client("lambda")

for app in response_dict['apps']:

client_lambda.invoke(

FunctionName=lambda_name,

InvocationType="Event",

Payload=json.dumps(app)

)

実処理をするLambdaにappの情報を渡して非同期で実行しています。

実処理するLambdaでアプリのアクセス権を取得

response = requests.get(
    'https://{domain}/k/v1/app/acl.json?app={id}'.format(
        domain=kintone_domain,
        id=event['appId']
     ),
     headers=headers
)

response = requests.get(

'https://{domain}/k/v1/app/acl.json?app={id}'.format(

domain=kintone_domain,

id=event['appId']

headers=headers

)

/k/v1/app/acl.json?app=でアクセス権を取得します。

Headerは先ほどと同じユーザー認証です。

レスポンス

{
    "rights": [
        {
            "entity": {
                "type": "CREATOR",
                "code": null
            },
            "includeSubs": false,
            "appEditable": true,
            "recordViewable": true,
            "recordAddable": true,
            "recordEditable": true,
            "recordDeletable": true,
            "recordImportable": true,
            "recordExportable": true
        },
        {
            "entity": {
                "type": "GROUP",
                "code": "everyone"
            },
            "includeSubs": false,
            "appEditable": false,
            "recordViewable": true,
            "recordAddable": true,
            "recordEditable": true,
            "recordDeletable": true,
            "recordImportable": false,
            "recordExportable": false
        }
    ],
    "revision": "15"
}

{

"rights": [

{

"entity": {

"type": "CREATOR",

"code": null

"includeSubs": false,

"appEditable": true,

"recordViewable": true,

"recordAddable": true,

"recordEditable": true,

"recordDeletable": true,

"recordImportable": true,

"recordExportable": true

{

"entity": {

"type": "GROUP",

"code": "everyone"

"includeSubs": false,

"appEditable": false,

"recordViewable": true,

"recordAddable": true,

"recordEditable": true,

"recordDeletable": true,

"recordImportable": false,

"recordExportable": false

}

"revision": "15"

}

rightsの配列にアクセス権設定が返ります。

組織のポリシーにもよると思いますが、今回はデフォルトで設定されているEveryoneがそのままのアプリを抽出したいと思います。
(Everyoneが悪いというわけではありません。が、本当はアクセス権を限定したいアプリでEveryoneを外すのを忘れているケースもあるかなと思いまして)

詳細はコードを見ていただければと思いますが、
あとは、このレスポンスを辿って、recordViewableとか、recordEditableとかがTrueになっているかをチェックして、Slackに投稿します。

通知出来ました！

環境変数

ご参考にされる場合の環境変数を記載しておきます。

SLACK_URL : SLACKのWebhook URL
CHANNEL : SLACKのチャンネル
KINTONE_ID : kintoneの管理者ID
KINTONE_PASSWORD : kintoneの管理者パスワード
KINTONE_DOMAIN : kintoneのドメイン(xxx.cybozu.comまで全部)
LOG_LEVEL : INFOとかDEBUGとか
LAMBDA_NAME : アプリ一覧を取得する方のLambdaのみに設定、実処理をするLambdaの名前

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】「ポケットスタディ AWS認定デベロッパーアソシエイト」という本を書きました。

【PR】「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター3年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS, kintone AWS, kintone, lambda, python

: kintoneの一覧に表示されているレコードのフィールドを更新する

kintoneで一括でレコード更新をするときに、書き出して、CSVの値を修正して …

: AWS KMSマルチリージョンキーを確認しました

2021年6月にKMS マルチリージョンキーがリリースされました。マルチリージ …

: Amazon LinuxにRedmine をインストールする(手順整理版)

Amazon LinuxにRedmineをインストールしました手順を記載します。 …

: API GatewayからLambdaを介さずにSNSトピックへ送信

やりたいこと APIリクエストをまずLambdaで受けて、SNSトピックへ送信す …

: EC2とRDSのMySQLを他のAWSアカウントへ移設する

他のAWSアカウントへシステムごと移設した場合の手順です。構成はEC2とRDS …

: 特定AWSアカウント特定リージョンのSQSキューを削除するLambda(Python)

やりたいこと特定アカウント内特定リージョン内のSQSキューを全部削除したいです …

: ある意味マネジメントコンソールで生成された署名付きURL

マネジメントコンソールにS3オブジェクトの[開く]というボタンがいつのまにか出来 …

: API Gateway 作成済REST APIの定義をSwaggerの形式でエクスポート

SAMで似たようなAPIを作りたくて、エクスポートしました。 Swaggerは、 …

: PyCharmにAWS CloudFormationプラグインをインストールして入力補完してみる

JetBrainsのPython統合開発環境(IDE)のPyCharmを1年ちょ …

: Azure AD SSOからAWS SSOに統合するための提供情報

Azure AD SSO担当者に送る情報をこちらの記事を見て確認しました。チュ …

PREV: kintoneの一覧に表示されているレコードのフィールドを更新する
NEXT: JAWS FESTA 2017 Reverse X re:Birth

kintoneでEveryoneに権限が設定されているアプリをAWS Lambdaで一括チェックする

ドメインのアプリ一覧を取得

Headerにはユーザー認証で

レスポンス

1度に100件なので

アプリごとに実処理をするLambdaに情報を渡す

実処理するLambdaでアプリのアクセス権を取得

レスポンス

通知出来ました！

環境変数

ad

ad

関連記事