見出し画像

#1 【Serverless】 serverless.ymlでの環境管理とAWSリソースの記述方法

 Queueソフトウェアチームの塩月です。弊社でも昨年からserverlessを触り始め、AppSync、Cognito、Lambda、APIGateway、DynamoDBなどのAWSリソースを実装に取り入れています。アプリケーション開発する際はほぼクライアントサイドだけで実装可能になってきたため、高速に実装を行えるようになりました。開発する中で知らないこともあるのでネットで調べるわけですが、リファレンスがしっかりまとまっていないことも多々あり調査の時間が嵩むこともしばしばです。

とりわけserverless.ymlでの各リソース+環境管理、serverless + モバイル(iOS, android)の記事はあまり投稿されていないようなので、

①serverless.ymlでの各リソース+環境管理

②serverless + モバイル(iOS, android)

の2回に分けて記事を投稿していきたいと思います。

ということで今回は①serverless.ymlでの各リソース+環境管理を紹介します。

AWSにサインインして各リソースの画面から作成や更新を行うこともできますが、環境を変更するたびにその作業を繰り返すのは面倒です。ほとんどのリソースはymlで管理することができるようになっているため、serverless.ymlに記述してデプロイすればCloud Formation経由で各リソースを環境ごとに管理することが可能です。

AppSync、Cognito、DynamoDB、Lambda、APIGatewayを一括で記述する方法を以下の流れで説明していきます。

1. 環境管理方法

2. AppSyncの記述方法

3. Cognitoの記述方法

4. DynamoDBの記述方法

5. IAMロールの記述方法

6. Lambda + APIGatewayの記述方法

各リソース毎に記述例を紹介していますが、サンプル全体はこちらで公開しています。

Queue-inc/base__serverless_yml
Contribute to Queue-inc/base__serverless_yml development by c
github.com


1. 環境管理方法

まずは環境ごとに分けるための記述方法ですが、以下のように書くと楽になります。

provider:
 stage: ${opt:stage, self:custom.defaultStage}
 profile: ${opt:profile, self:custom.defaultProfile}
 region: ${opt:region, self:custom.defaultRegion}
custom:
 defaultStage: dev
 defaultProfile: default
 defaultRegion: ap-northeast-1
 otherfile:
   environment:
     dev: ${file(./conf/dev.yml)}
     staging: ${file(./conf/staging.yml)}
     prod: ${file(./conf/prod.yml)}


defaultStageにdev, staging, prodなど環境を指定してあげれば、provider以下のstageで指定した環境を読み込むことができ、以降はself:provider.stageを呼ぶことで環境を記述する箇所で使うことができます。

sls deploy --stage [ステージ名]

この場合ymlでデフォルトはdevを指定しているので[ステージ名]に何も指定しなければdevが適用されます。他の環境名を指定するとその環境を読み込むことができます。

environmentには環境変数を記述した外部ファイルを用意して読みこむとコマンドラインだけで簡単に各環境にデプロイすることができます。

各リソース管理の際にはリソース名+${self:provider.stage}の記述にしておくことでどの環境のものか判別が容易になります。

次は各リソースの記述方法についてです。


2. AppSyncの記述方法

custom:
 appSync:
   name: # appsync名
   authenticationType: AMAZON_COGNITO_USER_POOLS # 認証先 AMAZON_COGNITO_USER_POOLS / API_KEY /* ここを埋める */
     userPoolConfig:
       awsRegion: # poolのregion /* ここを埋める */
       userPoolId: # userpoolのID /* ここを埋める */
       defaultAction: ALLOW # ALLOW / DENY /* ここを埋める */
     schema: # schema default → schema.graphql /* ここを埋める */
     dataSources: # データソース
       - type: AMAZON_DYNAMODB # AMAZON_DYNAMODB / AMAZON_ELASTICSEARCH / AWS_LAMBDA ... /* ここを埋める */
         name: # データソース名 /* ここを埋める */
         description: # 説明文 /* ここを埋める */
         config:
           tableName: # テーブル名 /* ここを埋める */
           serviceRoleArn: # ロールARN /* ここを埋める */
           region: # リージョン /* ここを埋める */
     mappingTemplates:
       - dataSource: # データソース名 /* ここを埋める */
         type: # Query / Mutation /* ここを埋める */
         field: # フィールド名 /* ここを埋める */
         request: # 'hogehoge-request.vtl' /* ここを埋める */
         response: # 'hogehoge-response.vtl' /* ここを埋める */


/* ここを埋める */の部分には任意の設定値を記述してください。複数のAppSyncを管理したい場合(各AppSyncに応じてデータソースが異なるなど)は[name]の先頭にハイフンをつけて[- name]とすることで複数記述することが可能です。

serviceRoleArnにはデータソースのDynamoDBに対するアクションを許可したポリシーを持つロールを指定します。ロールもserverless.ymlに記述することで作成可能なので一括で管理するのが良いと思います。

mapping-templateはvtlという拡張子のファイルを他のディレクトリから読み込むようにしています。

serverless.ymlでのAppSyncの管理はこちらのpluginを使用してデプロイが可能です。

plugins:
 - serverless-appsync-plugin


3. Cognitoの記述方法

ユーザープールとアイデンティティを含めると少し記述が長くなります。細かい設定でまだ指定できないものもあるようです。

custom:
UserPool:
Type: AWS::Cognito::UserPool                                                     
Properties:
  UserPoolName: # プール名 /* ここを埋める */
  AdminCreateUserConfig:
    AllowAdminCreateUserOnly: false # admin以外でユーザー作成の権限を与えるかの有無 true / false /* ここを埋める */
    UnusedAccountValidityDays: 7 # 使用されていないアカウントの有効日数 /* ここを埋める */
  AliasAttributes: # aliasの属性
    - email # /* ここを埋める */
  AutoVerifiedAttributes: # 属性の検証 email / phone_number 
    - email # /* ここを埋める */
  EmailVerificationMessage: "認証コードは {####} です。" # メール認証での文言 /* ここを埋める */
  EmailVerificationSubject: "認証コード発行" # メール認証のタイトル /* ここを埋める */
  MfaConfiguration: 'OFF' # 他要素認証 'ON' / 'OFF' / 'OPTIONAL' /* ここを埋める */
  Policies:
    PasswordPolicy: # パスワードポリシー
      MinimumLength: 8 # パスワードの長さ /* ここを埋める */
      RequireLowercase: false # 小文字を必要とするか true / false /* ここを埋める */
      RequireNumbers: false # 数字を必要とするか true / false /* ここを埋める */ 
      RequireSymbols: false # 特殊記号を必要とするか true / false /* ここを埋める */
      RequireUppercase: false # 大文字を必要とするか true / false /* ここを埋める */
  Schema: # 標準の属性に存在しないものを記述するとカスタム属性に追加される
    - AttributeDataType: String # データ型 /* ここを埋める */
      DeveloperOnlyAttribute: false # 属性タイプが開発者のみかの有無 true / false
      Mutable: true # 後からの変更を許可するか /* ここを埋める */
      Name: # カスタム属性名 /* ここを埋める */
      StringAttributeConstraints:
        MaxLength: 256 # 最長文字数 /* ここを埋める */
        MinLength: 0 # 最短文字数 /* ここを埋める */
     Required: false # 必須の有無 /* ここを埋める */                 
UserPoolClient: # 複数のuserpoolを作成する場合はここの名前を変更して追加する
Type: AWS::Cognito::UserPoolClient
Properties:
  ClientName: # アプリクライアント名 /* ここを埋める */
  UserPoolId:
    Ref: # UserPoolを指定するとUserPoolから反映される、または名前を指定する /* ここを埋める */
  ExplicitAuthFlows:
    - ADMIN_NO_SRP_AUTH # 認証フロー ADMIN_NO_SRP_AUTH / CUSTOM_AUTH_FLOW_ONLY / USER_PASSWORD_AUTH /* ここを埋める */
  RefreshTokenValidity: 30 # tokenの更新日数 /* ここを埋める */           
  ReadAttributes: # カスタム属性
    - custom:custom-attributes # カスタム属性がある場合は'custom-attributes'の箇所に追加する /* ここを埋める */
  WriteAttributes:          
    - custom:custom-attributes # カスタム属性がある場合は'custom-attributes'の箇所に追加する /* ここを埋める */
  GenerateSecret: false # クライアントシークレット作成の有無 true / false /* ここを埋める */
CognitoIdentityPool:
  Type: AWS::Cognito::IdentityPool        
  Properties:
    IdentityPoolName: # プール名
    AllowUnauthenticatedIdentities: true # 認証されていないユーザーの許可有無 true / false
CognitoIdentityPoolRoles:        
  Type: AWS::Cognito::IdentityPoolRoleAttachment
  Properties:
    IdentityPoolId:
      Ref: UserCognitoIdentityPool
    Roles:
      authenticated: 
        Fn::Join:
          - ''
          -
            - 'arn:aws:iam:'
            - ':'
            - Ref: AWS::AccountId
            - ':role/'
            - Ref: UserCognitoAuthRole
      unauthenticated: 
        Fn::Join:
          - ''
          -
            - 'arn:aws:iam:'
            - ':'
            - Ref: AWS::AccountId
            - ':role/'
            - Ref: UserCognitoUnAuthRole


複数のユーザープールとプールクライアントを管理する場合は[UserPool]と[UserPoolClient]の箇所を任意の名前に変更することで可能です。


4. DynamoDBの記述方法

DynamoDBの記述方法はネットに公開されていますがまとめとして一応紹介しておきます。

resources:
Resources:
  # DynamoDbの設定
  Table: # 名前 /* ここを埋める */
    Type: AWS::DynamoDB::Table
    Properties:
      TableName: # テーブル名 /* ここを埋める */
      AttributeDefinitions: # Hashkey, Rangekey, GSIのHashkey, Rangekeyに指定する場合はここに記述が必須
        - AttributeName: # 属性名 /* ここを埋める */
          AttributeType: # 属性の型 ex. S, N, B ...etc /* ここを埋める */
      KeySchema:
        - AttributeName: # AttributeDefinitionsで指定したものの名前 /* ここを埋める */
          KeyType: # HASH / RANGE /* ここを埋める */
      ProvisionedThroughput:
        ReadCapacityUnits: # 読み込みスループット ex. 1, 2, 3 ...etc /* ここを埋める */
        WriteCapacityUnits: # 書き込みスループット ex. 1, 2, 3 ...etc /* ここを埋める */
      GlobalSecondaryIndexes: # GSI 
        - IndexName: # インデックス名 /* ここを埋める */
          KeySchema:
            - AttributeName: # インデックスの属性 /* ここを埋める */
              KeyType: # HAAH / RANGE /* ここを埋める */
          ProvisionedThroughput:
            ReadCapacityUnits: # 読み込みスループット ex. 1, 2, 3 ...etc /* ここを埋める */
            WriteCapacityUnits: # 書き込みスループット ex. 1, 2, 3 ...etc /* ここを埋める */
          Projection:
            ProjectionType: # 射影される属性 ALL / INCLUDE / KEYS_ONLY /* ここを埋める */


複数テーブルは[Table]を任意の名前に変更して同様に記述します。ポイントはインデックスやHash key、Range keyに指定するものは全てAttributeDefinitionsのAttributeName、AttributeTypeに記述しておくことです。こうしておかないとデプロイで失敗します。


5. IAMロールの記述方法

AppSyncやCongnitoにIAMロールの記述が必要です。

下記はAppSyncにDynamoDBのアクセス権限を許可するIAMロールの記述例です。

AppSyncDynamoRole:
  Type: AWS::IAM::Role
  Properties:
    Path: /
    RoleName: Test-AppSyncRole-${self:provider.stage}
    AssumeRolePolicyDocument:
      Version: '2012-10-17'
      Statement:
        - Effect: Allow
          Principal:
            Service: 'lambda.amazonaws.com'
          Action:
            - 'sts:AssumeRole'
    Policies:                       
      - PolicyName: Test-AppSyncPolicy-${self:provider.stage}
        PolicyDocument:
          Version: '2012-10-17'
          Statement:
            - Effect: 'Allow'
              Action:
                - 'dynamodb:DeleteItem'
                - 'dynamodb:GetItem'
                - 'dynamodb:PutItem'
                - 'dynamodb:Query'
                - 'dynamodb:Scan'
                - 'dynamodb:UpdateItem'
              Resource:
                - { "Fn::GetAtt": ["テーブル名", "Arn"] }

AppSyncで上記で作成したロールを設定する際はこのように記述することができます。

serviceRoleArn: { Fn::GetAtt: [AppSyncDynamoRole, Arn] }

[AppSyncDynamoRole]となっているところは作成した任意のロール名を指定することで適用することができます。Policiesの許可するActionは必要な権限を持たせるようにします。


6. Lambda + APIGatewayの記述方法

こちらも既に多くの記事が存在しますが載せておきます。

functions:
functionName: # 関数名 /* ここを埋める */
  handler: # handlerのpath /* ここを埋める */
  events:
    - http:
        path: # endpoint /* ここを埋める */
        method: # GET / POST / PUT / DELETE / OPTIONS ... /* ここを埋める */
        cors: true # corsの有無 true / false /* ここを埋める */

[functionName]は任意の関数名に変更します。corsをtrueにしておくと後々AWSの画面上で面倒な設定を一つずつ行う必要がなくなります。各functionはhandlerファイルを作成して記述するようにして下さい。

今回はserverless.ymlでの環境管理とAWSリソースの記述方法を紹介しました。リソース作成を何度も行う無駄が省け、環境管理も一括で行えるため、細かい設定値以外はymlを用いて行う方が効率がよいのではないでしょうか。次回はモバイル開発のバックエンドを上記のserverless.ymlを使いながら構築した例を紹介したいと思います。

Queueに興味を持ってくださった方は会社紹介の記事も書いてるのでこちらを御覧ください。


この記事が気に入ったら、サポートをしてみませんか?気軽にクリエイターを支援できます。

8

Queue Inc.

Queueは、渋谷を拠点とするスタートアップです。コンピュータサイエンスをバックグラウンドとするメンバーを中心に、研究開発からアプリケーション化までを高速に行うことで、今までこの世界に存在しなかったソリューションを提供します。
コメントを投稿するには、 ログイン または 会員登録 をする必要があります。