こんにちは
技術課の山本です

ゴールデンウィークは群馬にある至仏山に登ってきました
降雪後の朝焼け前に登り始めたので人の足跡も無い静かな世界でした

「仕事を頑張ってまた山に行くぞ」
と気持ちを新たにしました

API Gateway (HTTP API) のJWTオーソライザーと Cognitoユーザープールを使って OAuth 2.0 の "Client Credentials Grant" を実装する

OAuth 2.0 の "Client Credentials Grant"

OAuth 2.0 の "Client Credentials Grant" については
以下の RFC に詳しく解説があります

datatracker.ietf.org

図(抜粋)

OAuth2.0で認証するクライアントが自身の管理下にあるサーバーなどであり
シークレットの管理を厳重に行える場合に利用可能な認証手段です
サーバー上に保管したシークレットを用いて認証サーバーからアクセストークンを取得し
アクセストークンを使用してアプリケーションに接続します

AWS のサービス別資料では19,20スライド目に出てきます

動画：
youtu.be

API Gateway (HTTP API) のJWTオーソライザーと Cognitoユーザープールを使って "Client Credentials Grant" を実装する

構成図はこんな感じになります

クライアント目線で見るとやることは以下になります

CognitoユーザープールのアプリクライアントIDと生成したクライアントシークレットをサーバーに保管
アプリクライアントIDとクライアントシークレットを認証ヘッダに入れてCognitoユーザープールのトークンエンドポイントにアクセストークンをリクエスト
発行されたアクセストークン(有効期限 1時間)を使って API Gateway にアクセス
アクセストークンが使用可能なものである場合は API Gateway と統合している Lambda 等にアクセスする (誤ったトークンの場合はアクセス拒否となる)
API Gateway と統合している Lambda 等はアクセストークン内のクレームをもとにリクエストを処理

環境構築

Cognito ユーザープールの作成

名前をつけます

アプリクライアントを追加します(これより前の設定はユーザー認証に関する設定項目のため変更していません)

アプリクライアントに名前を付けます
[クライアントシークレットを生成]にチェックが入っていることを確認します
クライアントシークレットを使って認証するため他のチェックは外します(一番下は外せない)

他は変更せずにプールの作成をします

作成したユーザープールにリソースサーバーを追加します

名前、識別子、スコープ、説明を追加します

アプリクライアントの設定をします
[許可されている OAuth フロー]の[Client credentials]にチェックします
[許可されているカスタムスコープ]はリソースサーバーに設定したものを選びます

トークンエンドポイントにドメイン名を設定します
( 独自ドメインを使用することもできます )
任意の名前を入力し右側にある[使用可能かチェック]のボタンを押します
上に[このドメインは使用できます]と出るので右下の[変更の保存]を押します
ドメイン名が設定できました

API Gateway (HTTP API) に統合する Lambda の作成

簡易的に受け取ったヘッダの内容を全て出力する Lambda を作成しておきます(Node.js 14.x)

exports.handler = async (event) => {
    // TODO implement
    const response = {
        statusCode: 200,
        body: JSON.stringify(event),
    };
    return response;
};

API Gateway (HTTP API) の作成

HTTP API を作成します

作成した Lambda を選択します
APIに任意の名前を付けます

/test_jwt へのリクエストが Lambda にルーティングされるようにします

ステージはデフォルトのまま作成します

デプロイしたデフォルトのステージを見にいくとURLの記載があるのでメモします

URL のパス: /test_jwt に curl や WEBブラウザを使いアクセスすると受信ヘッダを出力する Lambda の実行結果が表示されます
またステータスコードは 200 が返ってくることを確認します

API Gateway (HTTP API) に JWT オーソライザーを追加

先に Cognito のユーザープールID とアプリクライアント ID をメモしておきます
ユーザープールID は Cognitoの以下の画面にあります

アプリクライアント ID はCognitoの以下の画面にあります

API Gateway に JWT オーソライザーを追加していきます

オーソライザーのタイプにJWTを選択します
任意の名前を付けます
[発行者 URL]は以下になります

https://cognito-idp.<Cognitoの利用リージョン名>.amazonaws.com/<CognitoのユーザープールID>

[対象者]は Cognitoユーザープールのアプリクライアント IDになります

JWTオーソライザーを設定したのでもう一度パス: /test_jwt に curl や WEBブラウザを使いアクセスしましょう
すると今度はアクセストークンが無いため認証エラーになります(ステータスコードは401)

構築した "Client Credentials Grant" の環境を試す

1. CognitoユーザープールのアプリクライアントIDと生成したクライアントシークレットをサーバーに保管

Cognitoユーザープールの以下画面から取得します

トークンエンドポイントのURLも控えておきます

2. アプリクライアントIDとクライアントシークレットを認証ヘッダに入れてCognitoユーザープールのトークンエンドポイントにアクセストークンをリクエスト

以下のように curl コマンドを実行します
補足:Authorizationヘッダには "アプリクライアントID:クライアントシークレット" をbase64 エンコードした文字列を入れて Basic 認証をします

# 変数定義
APP_CLIENT_ID=<アプリクライアントID>
CLIENT_SECRET=<クライアントシークレット>
TOKEN_END_POINT=<トークンエンドポイント>
CODE=`echo -n ${APP_CLIENT_ID}:${CLIENT_SECRET} | base64`

# トークン取得
curl -X POST ${TOKEN_END_POINT}/oauth2/token \
-H "Authorization: Basic $CODE" \
-H "Content-Type: application/x-www-form-urlencoded" \
-d "grant_type=client_credentials" \
-d "client_id=${APP_CLIENT_ID}"

access_tokenを取得できました

有効期限は 3600秒(1時間)になっています(変更不可)

参考：トークンエンドポイント - Amazon Cognito

3. 発行されたアクセストークン(有効期限 1時間)を使って API Gateway にアクセス

以下のように curl コマンドを実行します

# 変数定義
API_GATEWAY_URL=<API Gateway のURL>
API_GATEWAY_PATH=/test_jwt #APIのパス
ACCESS_TOKEN=<アクセストークン>

# API Gateway にアクセス
curl ${API_GATEWAY_URL}${API_GATEWAY_PATH} -H "Authorization:$ACCESS_TOKEN"

Lambda が実行されました
ステータスコード 200 が返ってきました
受信ヘッダにはアクセストークン内のクレームも入っていました
クレームの中にはCognitoユーザープールのリソースサーバーに設定したスコープが含まれています

補足

API Gateway のAPIに認可スコープを設定する

API Gateway のAPIに認可スコープを設定することもできます
その場合は「リソースサーバーの識別子/スコープ名」という記載の仕方になります

Cognito ユーザープールの以下画面で確認できます

設定した認可スコープを持っていないとAPIにアクセス出来ないという制限をかけることになります

API Gateway の JWT オーソライザーにアプリクライアントを追加する

API Gateway の JWT オーソライザーには複数のアプリクライアントを追加できます

つまり 1つのCognitoユーザープールに複数のアプリクライアントを作成し
それぞれに異なるスコープを設定し API Gateway に認証させることも可能になっています

例：
最初にCognitoユーザープールのリソースサーバーに書き込み用のスコープを追加します

次にCognitoユーザープールにアプリクライアントを追加します (上の「環境構築」と同じ手順のため詳細な手順割愛)

新しく作ったアプリクライアントの「許可されているカスタムスコープ」には書き込み用のスコープを指定します

新しく作ったアプリクライアントIDを確認し API Gateway の JWT オーソライザーに追加します

これで新しく作ったアプリクライアントでも API Gateway にJWT認証させることができるようになりました
試しに追加したアプリクライアントのアプリクライアントIDとシークレットを使ってアクセストークンを発行し API Gateway にアクセスしてみたところ認証が通りました
そしてスコープが書き込み用のスコープになっていました