[レポート] AWS AppSyncでセキュアなGraphQLを構築する #NTA308 #AWSreInvent

AWS re:Invent 2024
2024.12.04
こんにちは、AWS事業本部の荒平(@0Air)です。
 AWS re:Invent 2024では、ラスベガスへ現地参加しています！
本エントリでは、参加したBuilder's Sessionの「Build a secure GraphQL with AWS AppSync」について紹介します。
 3行まとめ本記事の内容を要約しました。
AppSync、GraphQLに興味がある初心者〜中級者の方が対象
環境をセキュアにするには、Cognitoを利用します
リクエストに対し、Cognitoのユーザープールに存在するユーザーであればアクセス許可し、それ以外を不許可とすることでセキュアな環境を構築します
 セッション概要In this session, attendees learn how to use AWS Amplify Studio and AWS AppSync to build a secure and scalable GraphQL API. Start by exploring the benefits of a GraphQL-based architecture and how it can simplify application development. Then dive into a working session where participants create their own GraphQL API, configure authentication and authorization, and deploy it into production in your account.
(訳文)
 このセッションでは、AWS Amplify StudioとAWS AppSyncを使用してセキュアでスケーラブルなGraphQL APIを構築する方法を学びます。GraphQLベースのアーキテクチャの利点と、アプリケーション開発を簡素化する方法を理解することから始めます。その後、実際にGraphQL APIを作成し、認証と承認を設定し、各自のアカウントで本番環境にデプロイする実習セッションを行います。
 スピーカーVictor Feinman, Solutions Architect, AWS
Renu Yadav, Sr. Solutions Architect, Amazon Web Services
Sailesh Kadam, Sr. Solution Architect, AWS
Joshua Morrison, Sr Leader, Solutions Architectur, Amazon Web Services
Jason Polce, Solutions Architect, AWS
※テーブルごとにスピーカーが異なるのですが、私のテーブルはVictorでした
 レベル300 - Advanced
 セッション内容 構成のイメージこのセッションで学べるサービスの構成です。
 Snack Exchangeという新しいSaaSの基盤作成を想定したワークショップです。
 Appsync+DynamoDBのインフラを整えたあと、Cognitoの認証を追加します。
Snack Databaseは事前に用意されており、データ構造は以下の通りでした。これを参考にワークショップを進めていきます。
{ "user_id": <User ID>, "user_name": <User First Name>, "snack_name": <User Favorite Snack>, "snack_type": <Type of Snack> } 
 GraphQL APIを作成するAppSyncのコンソールから、新規のAPIを作成します。
スキーマは課題内に提供されていたので、これを作成したAPIに設定します。
type Snack { user_id: ID! user_name: String! snack_name: String! snack_type: String! } type Query { getSnack(user_id: ID!, snack_name: String!): Snack } schema { query: Query } 
 データソース・リゾルバ構成このままでは動作しないので、DynamoDBをデータソースに指定します。
データソースにDynamoDBを指定したら、リゾルバーが構成できるのでこれを設定します。
リゾルバーには、リゾルバーコードを設定する必要があるので、リクエストマッピングを以下の通り設定します。
 (ワークショップで提供されました)
/** * Sends a request to the attached data source * @param {import('@aws-appsync/utils').Context} ctx the context * @returns {*} the request */ export function request(ctx) { return { operation: "GetItem", key: { user_id: { S: ctx.args.user_id }, snack_name: { S: ctx.args.snack_name } } }; } /** * Returns the resolver result * @param {import('@aws-appsync/utils').Context} ctx the context * @returns {*} the result */ export function response(ctx) { return ctx.result; } 
 APIのテストAppSyncコンソールから、サンプルクエリを投げて想定通りのレスポンスを得ました。
とってもお手軽にDynamoDBの内容が取得できて色々応用できそうです。
 ただ、このままだとパブリックに公開され、誰でも取得できる状態になってしまうので、制限を掛けていきます。
 Cognitoでユーザーを追加ユーザープールを作成し、そこにサンプル用のユーザーを作成します。
AppSync側で認証を追加します。
 「Amazon Cognito ユーザープール」を指定し、追加したいユーザープールのIDを入力して保存します。
 スキーマを変更ユーザー認証のため、前手順で設定したスキーマを変更します。
type Snack { user_id: ID! @aws_cognito_user_pools(cognito_groups: ["EndUsers","Administrators"]) @aws_api_key user_name: String! @aws_cognito_user_pools(cognito_groups: ["Administrators"]) @aws_api_key snack_name: String! @aws_cognito_user_pools(cognito_groups: ["EndUsers","Administrators"]) @aws_api_key snack_type: String! @aws_cognito_user_pools(cognito_groups: ["EndUsers","Administrators"]) @aws_api_key } type Query { getSnack(user_id: ID!, snack_name: String!): Snack @aws_cognito_user_pools(cognito_groups: ["EndUsers","Administrators"]) @aws_api_key } schema { query: Query } 
 CognitoユーザーでAPIを実行Cognitoに追加したユーザーからAPIを実行してみます。
 まずは、Cognitoユーザーでログインします。
ログイン状態で正常にレスポンスが返りました！
ログインをせず実行した場合や、このユーザーに許可されていないクエリを実行すると、ちゃんとエラーが返りました！
 感想AppSyncを触ったことがなかったので、個人的に勉強になるワークショップでした。
 Cognitoのユーザープールを指定すれば一瞬で認証が実装できるのでとても楽でいいですね。
 セッションはREPEATも編成され、どちらも満席のようなので、日本にも上陸するかもしれません。
これからAPIの開発をしたいエンジニアの方にはオススメしたいセッションでした！
このエントリが誰かの助けになれば幸いです。
  それでは、AWS事業本部 コンサルティング部の荒平(@0Air)がお送りしました！