AWS as MBaaS 〜APIキーとかの話〜

Copylight © Classmethod, Inc.
AWS as MBaaS!!!
∼APIキーとかの話∼
北海道iOS勉強会!
クラスメソッド株式会社!
平井祐樹

自己紹介
• 平井祐樹、28歳、B型!
• 2012年2月入社（CM歴2年4ヶ月ぐらい）!
• iOSアプリ開発歴：2年ぐらい!
• Webアプリ開発（PHP、js）
2

アジェンダ
• MBaaSとAWS!
• AWSをMBaaSとして実際に使ってみた話!
• まとめ
3

MBaaSとAWS
4

MBaaSって？
• Mobile Backend as a Serviceの略!
• エムバース
5

MBaaSって？
6
MBaaSとは、スマートフォンアプリの開発に
必要な汎用的機能をAPI、SDKで提供しサー
バー側のコードを書くことなく、サーバー連
携するスマートフォンアプリを効率よく開発
できるようにするクラウドサービスです。!
（参考：NIFTY Cloud）

あっち側
MBaaSって？
7
モバイル
・データ集計／取得!
・ユーザー管理!
・通知
ストレージ
サーバー DB

MBaaSって？
あっち側のことを!
よろしくやってくれるサービス
8

MBaaSの選択肢
9
Kii cloud NIFTY CloudParse.com

MBaaSに求めるもの
• 認証／アクセス制御!
• 共有データストア!
• プッシュ通知!
• などなど…
10

？？？
11

AWSが使えるんじゃね？？
12

• 認証／アクセス制御
13

• 共有データストア
14

• プッシュ通知
15

AWS SDK
• Java/Ruby/PHP/.Netなど様々なプラット
フォームごとにSDKが提供されている!
• 当然、iOS（Objective-C）用のSDKもある!
• AWS SDKを使用するとAWSのサービスを
直接利用できる
16

MBaaSの選択肢
17
Kii cloud NIFTY CloudParse.com

AWS を MBaaSとして!
どこまで使えるのか？
18

絶賛検証中！
19

AWSをMBaaSとして!
実際に使ってみた話
20

何からやってみよう？
21

とりあえず!
iOSアプリからAWS SDKを使って!
S3にアクセスしてみる
22

Amazon S3
• AWSの一つとして提供されているオンライ
ンストレージサービス!
• ファイル（S3ではオブジェクトと呼ばれ
る）はバケットと呼ばれる入れ物にいれて
管理する
23

S3に任意のバケットに保存されている!
ファイル一覧を表示する!
iOSアプリを作って見よう。
24

どうやってやるの？!
何が必要なの？
25

AWS SDKのサンプルを見ている
26

AWS SDKのサンプル
IAMユーザーのアクセスキーIDとシーク
レットキーを用いて、S3にアクセスする。
27

ふぁ？IAM ユーザーって？？
28

IAM
• Identity and Access Management!
• AWSの権限管理のサービス!
• IAM ユーザー、IAM グループ、IAM ロール
とかがある
29

IAM ユーザー
• 一つのAWSアカウントの下に複数のユーザを作
成することができる!
• そのユーザに特定のリソース、サービス、ＡＰＩ
に関する権限を与えることができる!
• そのユーザーを使ってAWS管理画面にログイン
したりAWSのリソースにアクセスできたりする
30

必要なもの
• AWS SDK for iOS（v1.7.1）!
• IAM ユーザーのアクセスキーIDとシーク
レットアクセスキー!
• S3のバケットとその中のファイル!
• Xcode
31

S3に任意のバケットに保存されている!
ファイル一覧を表示する!
iOSアプリを作って見よう。
32

やること
1.IAMユーザーのアクセスキーIDとシーク
レットアクセスキーを取得する!
2.S3にバケットとファイルを用意する!
3.iOSアプリを実装する
33

IAMユーザーのアクセスキー ID と
シークレットアクセスキーを取得する
34

35

36

1. IAMユーザーのアクセスキー ID とシーク
レットアクセスキーを取得する
37

S3にバケットとファイルを用意する
38

iOSアプリを実装する
39

40
// アクセスキーIDとシークレットアクセスキーを指定してS3クライアントインスタンスを生成する
AmazonS3Client *s3Client = [[AmazonS3Client alloc]
initWithAccessKey:@“[アクセスキーID]”
withSecretKey:@“[シークレットアクセスキー]”];
// 指定しバケットのファイル一覧を取得する
S3ListObjectsRequest *request = [[S3ListObjectsRequest alloc]
initWithName:@"ios-s3-sample"];
S3ListObjectsResponse *response = [s3Client listObjects:request];
if (response.error) {
NSLog(@"error: %@", response.error);
} else {
NSArray *objects = response.listObjectsResult.objectSummaries;
for (NSString *objectSummary in objects) {
NSLog(@"%@", objectSummary);
}
}

実行！
41

できた！
42

と思いきや
43

AWS SDKのREADMEを見てみると
44

// アクセスキーIDとシークレットアクセスキーを指定してS3クライアントインスタンスを生成する
initWithAccessKey:@“[アクセスキーID]”
withSecretKey:@“[シークレットアクセスキー]”];
// 指定しバケットのファイル一覧を取得する
S3ListObjectsRequest *request = [[S3ListObjectsRequest alloc]
initWithName:@"ios-s3-sample"];
S3ListObjectsResponse *response = [s3Client listObjects:request];
if (response.error) {
NSLog(@"error: %@", response.error);
} else {
NSArray *objects = response.listObjectsResult.objectSummaries;
for (NSString *objectSummary in) {
NSLog(@"%@", objectSummary);
}
}
45
<- NG!!

サンプルではIAMユーザーのアクセスキー
IDとシークレットアクセスキーを使ってる
けど、実際にはやらないでね∼
46

ふぁ？なんで？？
47

で、そこについて調べてみました
48

S3やDynamoDBにアクセスしたい
49
APIキーが必要!!

APIキーとは？
• 永続キー (long lived credentials)!
• 一時キー (short lived session credentials)!
参考：IAMによるAWS権限管理運用ベストプラクティス (2) ｜
Developers.IO
50

APIキーとは？
IAMユーザーのアクセスキーIDとシーク
レットアクセスキーは永続キーの１つ
51

永続キーをモバイルアプリに埋め込むのは
非常に危険！
52

WEBアプリの場合
53
サーバー

モバイルアプリの場合
キーが抜かれる想定していない経路から!
アクセスされてしまう！

永続キーを悪用されると・・・
• 想定していない経路（別のアプリなど）か
らAWSリソースにアクセスされてしまう!
• 場合によっては元のサービスを妨害されて
しまう
55

そもそも永続キーを使うと・・・
• 永続キーを共通で使用すると、認証やらア
クセス制限ができない
56

永続キーではなく!
一時キーを使おう！
57

で、どうやって一時キーを使うの？
58

一時キー使う
• Security Token Service (STS)!
• IAMに従属するサブプロダクト的な位置
付け!
• IAMロールに設定された権限を持った一
時キーを入手することができる!
参考：IAMロール徹底理解 ∼ AssumeRoleの正体｜ Developers.IO
59

IAMロール
• AWSの各種サービスにアクセスする際の権
限を設定できる仕組み
60

STSを使えば、IAMロールの持つ権限
を一時的に付与してもらうことが可能
61

一時キーを取得する手段
• 自前のサーバーを用意して一時キーを発行
してもらう!
• Facebook／Google／Amazon.comアカウ
ントを使用する
62
<- サーバーサイドの技術も必要・・・
<- AWSだけでもいける！

ということで、実際にFacebook認証を
使ってAWSの一時キーを取得してみる
63

よくあるサンプル
64
IAMユーザーのアクセスキーとシークレッ
トキーを用いて、S3にアクセスする。

よくあるサンプル（改）
• Facebook認証を使って取得したAWSの一
時キーを用いて、S3に保存されている自分
だけのファイル一覧を表示する。
65

よくあるサンプル（改）
1.S3にバケットを用意する!
2.Facebookアプリケーションを作成する!
3.IAMロールを作成する!
4.iOSアプリを実装する
66

S3にバケットを用意する
• このサンプルアプリで使用するS3のバケッ
トを作成する!
• このバケット配下でFacebookアカウント
ごとにフォルダを分けて管理するようにす
る
67

Facebookアプリを作成する
68

69

70

71

72

73

ロールを作成する
74

75

76

77

78

Copylight © Classmethod, Inc. 79
{!
"Version": "2012-10-17",!
"Statement": [!
{!
"Effect": "Allow",!
"Action": ["s3:ListBucket"],!
"Resource": ["arn:aws:s3:::ios-s3-sample-bucket"],!
"Condition": {!
"StringLike": {!
"s3:prefix": "${graph.facebook.com:id}/*"!
}!
}!
},!
{!
"Effect":"Allow",!
"Action":["s3:GetObject", "s3:PutObject", "s3:DeleteObject"],!
"Resource":[!
"arn:aws:s3:::ios-s3-sample-bucket/${graph.facebook.com:id}",!
"arn:aws:s3:::ios-s3-sample-bucket/${graph.facebook.com:id}/*"!
]!
}!
]!
}

80

81

82

Copylight © Classmethod, Inc. 83
// Facebook認証を実行する
FBSession *session;
[session openWithCompletionHandler:^(FBSession *session,
FBSessionState status,
NSError *error) {
// Facebook認証で取得したトークンでAWSから一時キーを取得する
NSString *role = @“arn:aws:iam::xxxxx:role/FacebookWIFS3FileStore”;
NSString *accessToken = session.accessTokenData.accessToken;
AmazonWIFCredentialsProvider *wif = [[AmazonWIFCredentialsProvider alloc]
initWithRole:role
andWebIdentityToken:accessToken
fromProvider:@"graph.facebook.com"];
if (wif.subjectFromWIF) {
// Facebookアカウントで取得した一時キーを指定してS3クライアントインスタンスを生成する
initWithCredentialsProvider:self.wif];
// あとはファイルを閲覧したりアップロードしたり削除したり・・・
}
}];

まとめ
• 永続キーではなく一時キーを使え!
• ことAWS as MBaaSではその手段は
Facebook／Google／Amazon.comアカウ
ントを使用する方法しかなさそう
84

AWS as MBaaS 〜APIキーとかの話〜

AWS as MBaaS 〜APIキーとかの話〜

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (7)

Similar to AWS as MBaaS 〜APIキーとかの話〜

Similar to AWS as MBaaS 〜APIキーとかの話〜 (20)

AWS as MBaaS 〜APIキーとかの話〜