2022年5月 | WebとかIoTのブログ

KMSとCloudHSMについて勉強した
はじめに

KMSとCloudHSMについて学んで、要点をまとめてみることにした

やってみたこと
- AWSの鍵管理サービスには2種類ある
  - KMS
    マルチテナント
    使った分だけ課金
  - CloudHSM
    専有
    月額の固定費
- 使い分けの基準
  - 秒間で100を超えるリクエストがあるならCloudHSM
  - 公開鍵暗号化を利用したい場合にはCloudHSM
    暗号化と復号化に同じ鍵を使うのが共通鍵暗号化方式
    鍵が漏れると危険
    暗号化と復号化に別な鍵を使うのが公開鍵暗号化方式
    平文で送らないように内容は暗号化したい
    鍵が漏れても期限じゃない
    暗号化のための鍵はだれでも入手可能に
    ただし、復号化のための鍵は自分しかもっていない状態にする
  - それ以外であればKMS
- KMSの機能
  - Encrypt：暗号化
  - Decrypt：復号化
  - GenerateDataKey：カスタマーデータキーを作成
- マスターキーとデータキー
  - データの暗号化をCDK（Customer Data Key）で行う
  - CDKの暗号化をCMK（Customer Master Key）で行う
  - それによって、例えばS3のデータキーが流出しても、マスターキーが流出しない限りは復号化を防ぐことができるということ
    なぜなら、マスターキーが無いと、データキーを複合できないため
  - なので、マスターキーだけに管理リソースを全振りできることになり、セキュリティを高めることができる
最後に

マスターキーの考え方を延伸すると、すべてのAWSアカウントのマスターキーのマスターキーが欲しい。みたいな考え方になる気がするけど合ってる？

参考
hirobel

5月 31, 2022

AWS, 勉強会
[AWS]セキュリティとアイデンティティについてまとめてみた
概要

AWSのアカウントの種類
- 2種類ある
  - AWSアカウント（ルートユーザ）
  - IAMユーザ
    AWS IAM（Identity xxx management）を通して、権限を限定したユーザ
IAM
- IAMグループ
  - IAMユーザ
    IAMポリシー
    「EC2にインスタンスを立ち上げできる」とか「EC2のインスタンスを停止できない」とか
- IAMポリシー
  - Action：どのサービスの
  - Resource：どういう範囲を
  - Effect：拒否・許可
- インラインポリシーとマネージドポリシー
- マネージドポリシー
  - AWS管理ポリシー
    例：「Administarator」「PowerUser」
  - カスタマー管理ポリシー
- IAMロール
  - 一時的にAWSリソースへのアクセス権限を付与する際に利用するもの
- ちょっといい方を変えて説明してみる
  - IAMというサービスでユーザが作成できる
  - 作成したユーザに権限を設定できる
  - 権限は、「許可」と「拒否」の2種類ある
  - 権限は1ユーザに複数設定できる
  - IAMで作成したユーザを「IAMユーザ」と呼ぶ
  - 権限を「ポリシー」と呼ぶ
  - 複数のユーザにまとめてポリシーをセットする場合には、「IAMグループ」を使う
  - AWS管理のマネージドポリシーを利用すると、一切権限定義をせずに、いい感じの権限がセットできる
    例えば
    「Administarator」：何でもできる
    「PowerUser」：何でもできるけど、ユーザだけイジれない
  - マネージドポリシーを元に、独自のポリシーを用意することもできる
    例えば、「Adminnistrator」で開発を進めていって、途中で明らかにいらない権限をコツコツ剥奪していく
  - 完全に独自でポリシーをインラインポリシーで作り込んでいくこともできる
  - 一時的にだけ権限がほしい場合には、ロールを割り当てる。
hirobel

5月 17, 2022

AWS
[AWS]AWSのデータベースサービスとは
AWSのデータベースサービスについてまとめてみた。

やってみたこと

まず、そもそもデータベースってなんだっけ？みたいなところから初め、AWSにおけるDBサービスについてまとめてみた。

そもそも、データベースとは？
- 大量のデータの読み・書きに特化したサービス
- いきなりDB使おうとするのではなくて、たぶんこんな流れで検討するのが自然
  - 紙に書いとけばよくない？
  - 大量のデータをコピペするとか検索するの大変じゃなければテキストファイルくらいでよくない？
  - デジタルデータにしとこう。テキストエディタとかExcelに書いておこう
  - 量が増えてきて、整合性をとって変更するとか、複雑な条件で検索する参照するにもExcelで事足りない？
  - Excelファイルが散らばってたり、人によって書き方違うので集計大変とまでいかなければExcel頑張ればよくない？
  - 大人数で開発するとか、はじめっから使いこなせるチームでも無い限り、運用方法だけ定めてExcelの使い方とかを使い回せるようにフレームワーク化するくらいでよくない？
  - 黙ってDB使っとくべきか？
- 「データベース」といってもいろいろな種類・特徴がある。よく使われるアーキテクチャとしては2つある
  - RDB
    表形式でデータを管理できる
    表から表に「関連付け」することができる
    例えば、はじめに「顧客名簿」「購買履歴」という表を別々に作る。次に、両方に”顧客ID”という項目を入れる。すると、2つの表を「関連付け」て、顧客ごとの購買履歴を集計することなどができる。また、顧客名簿の更新が反映される。
    代表的なソフトがいくつかある
    Oracle
    Microsoft SQL Server
    MySQL
    PostgreSQL
    SQLという言語を利用して操作できる
  - NoSQL
    Not Only SQLの略
    SQLを使わないデータベースアーキテクチャ
    RDBよりも柔軟な形式でデータを格納できる
    代表的なソフトがいくつかある
    Redis
    Memcached
    Cassandra
    MongoDB
    CouchDB
    Neo4j
    Titan
DynamoDB

概要
- どれ使うか迷ったら、まずこれを検討しよう。
特徴
- 高可用性をもつ設計
  - DynamoDBをチョイスするだけで一定の高可用性が担保できる
  - なんも考えなくてもいい
- 基本そのままでいいんだけど、こまったら使うとよいオプションが色々ある
  - スループットキャパシティ
  - データパーティショニング
  - DynamoDBにおけるプライマリキーとインデックス
  - DynamoDB Streams
  - Consistent Read
  - DynamoDB Accelarator
- TTL
RDS

概要
- DynamoDBの癖が強すぎて感化できないなら、こいつに任せれば間違いない。長期政権。
ストレージタイプ

特徴
- マルチAZ構成である
- リードレプリカという概念がある
- バックアップとリストアが便利である
- セキュリティオプションがある
Amazon Auroraというサービス
- 構成要素
- Auroraレプリカとは
- エンドポイントの設定
Redshift

概要
- RDSの集計が遅い、そこだけなんとかしたい。
Redshiftの構成
- クラスタとリーダーノードとコンピュートノード
Redshiftの特徴
- カラムナ型データベースである
- 多くのエンコード方式に対応している
- ゾーンマップという概念がある
- 柔軟な拡張性を持っている
- ワークロードの管理機能を持っている
- Redshift Spectrumという拡張サービスがある
Elasticache

概要
- Memcached型Elasticacheの特徴
  - クラスタ構成
  - スケーリング
- Redis版Elasticacheの特徴
  - クラスタ構成
  - スケーリング
  - CPU使用率
  - データ暗号化
RDSの集計が遅い、

その他のデータベース

他にもいろいろなAWSサービスがある。一言だけで雑に表現してみる

Amazon Neptune
- グラフDBは任せろ
Amazon DocumentDB
- MongoDBをAWSで使いたいなら任せろ
Amazon Keyspaces
- Apache CassandraをAWSで使いたいなら任せろ
Amazon Timestream
- 時系列DBは任せろ
Amazon QLDB
- 台帳DBなら任せろ
最後に

参考
hirobel

5月 10, 2022

AWS, 勉強会

PayPay for Developersでウェブペイメントちょっと触ってみた

概要

ほぼ予備知識無しでPayPay for Developersを見ながらウェブペイメントのURLを出すだけのミニマムなサンプルを作ってみたメモです

このページを見ながらやったやつです。

PayPay for Developers https://developer.paypay.ne.jp/products/docs/webpayment

自分には読解が難しかったので、備忘録的にまとめ直してみることにしたという経緯です。

前提

node.jsを使います
とりあえず動くサンプルが欲しいエンジニア向けです
- 逆に言うと、1次情報をちゃんと見るべき人はP4Dの内容を見たほうがよいです。ほぼ焼き直しなので。
node.jsを使います
筆者のsandbox環境のAPI_KEYとかが入ってますが適宜さしかえてください。

まとめ

node, npm等のインストール
ライブラリのインストール
- @paypayopa/paypayopa-sdk-node
- uuid
コードを書く

結局、最終的な実行結果とコードは以下

実行結果

$ find . -type f -name "*" -maxdepth 1
./package-lock.json
./package.json
./app.js

$ API_KEY="<APIキー>" API_SECRET="<シークレット>" MERCHANT_ID="<加盟店ID>" node app.js 
{
  "STATUS": 201,
  "BODY": {
    "resultInfo": {
      "code": "SUCCESS",
      "message": "Success",
      "codeId": "08100001"
    },
    "data": {
      "codeId": "04-osO2B8Azx3u4InLM",
      "url": "https://qr-stg.sandbox.paypay.ne.jp/28180104osO2B8Azx3u4InLM",
      "expiryDate": 1648524264,
      "merchantPaymentId": "dfce0d19-d18e-4d75-abad-3bf4127b4398",
      "amount": {
        "amount": 1,
        "currency": "JPY"
      },
      "orderDescription": "Super Delicious Cake",
      "codeType": "ORDER_QR",
      "requestedAt": 1648523964,
      "redirectUrl": "https://paypay.ne.jp",
      "redirectType": "WEB_LINK",
      "isAuthorization": false,
      "deeplink": "paypay://payment?link_key=https%3A%2F%2Fqr-stg.sandbox.paypay.ne.jp%2F28180104osO2B8Azx3u4InLM"
    }
  }
}

$ cat app.js
const PAYPAY = require('@paypayopa/paypayopa-sdk-node');
const uuid = require('uuid');

PAYPAY.Configure({
    clientId: process.env.API_KEY,
    clientSecret: process.env.API_SECRET,
    merchantId: process.env.MERCHANT_ID
})

const main = async () => {
    // See: https://developer.paypay.ne.jp/products/docs/webpayment#dynamic-qr-codeid
    let payload = {
        merchantPaymentId: uuid.v4(),
        amount: {
            amount: 1,
            currency: 'JPY'
        },
        codeType: "ORDER_QR",
        orderDescription: "Super Delicious Cake",
        isAuthorization: false,
        redirectUrl: "https://paypay.ne.jp",
        redirectType: "WEB_LINK",
    }

    await PAYPAY.QRCodeCreate(payload, (response) => {
        console.log(JSON.stringify(response, undefined, 2));
    })    
}

main()

やってみたこと

やってみたことを流れで書きます。

目次：
- 1.nodeのインストール(homebrew, nodebrewのインストール)
- 2.ライブラリをインストールする
- 3.コードを書く
- 4.とりあえずここまでで動かしてみる（エラーになる）
- 5.最終結果

1.nodeのインストール(homebrew, nodebrewのインストール)

もし入ってなければnodebrewを入れます。バージョン管理が目的なので別なツールでもよい。

$ /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" 
$ brew install nodebrew 
$ vim ~/.zshrc ```~/.zshrc PATH="${HOME}/.nodebrew/current/bin:${PATH}" export PATH

$ source ~/.zshrc
$ nodebrew ls-remote
$ mkdir -p ~/.nodebrew/src # 私の環境だとなんか怒られたので空ディレクトリ作った
$ nodebrew install-binary stable
$ nodebrew use <バージョン>

2.ライブラリをインストールする

nodeでpaypay-sdkを利用するため、@paypayopa/paypayopa-sdk-node を開発ディレクトリにインストールします。

$ npm init
$ npm i @paypayopa/paypayopa-sdk-node --save

3.コードを書く

clientを生成する

「PAYPAY.QRCodeCreate」をとかをするためのクライアントを生成するコードを書きます。

$ code app.js

const PAYPAY = require('@paypayopa/paypayopa-sdk-node');
PAYPAY.configure({
    clientId: API_KEY,
    clientSecret: API_SECRET,
    merchantId: MERCHANT_ID
})

これで下準備が完了。ただ、当然このままだと何も動かないので、認証サイト用の「QRコード」を作成します

PayPayドメインの認証サイトを通して、WEBなりPayPayアプリなりで認証とかするので、これが最初にやるべきステップという感じです。

Create a QR Codeを実行するコードを追加

認証サイト用の「QRコード」を作成するための「PAYPAY.QRCodeCreate」を実行する処理を入れていきます。

処理に必須な入力はここに書いてあります「marchantPaymentId」「amount」「codeType」です。「codeType」は固定値。

今回は、非必須の入力の動作も見れるように次の項目も設定します

orderDescription：支払い時に表示される説明文になるので適当に”Super Delicious Cake”と入れてみる
isAuthorization：出荷売上にしないのでfalse
redirectUrl：認証サイトからの戻り先。今回は動作だけみたいのでとりあえず適当なURLを入れる
redirectType：支払いのタイプ。詳しくは把握してませんが、WEBベースなら”WEB_LINK”です
userAgent：リダイレクトする際のブラウザをコントロールするパラメータ。userAgentに基づいてブラウザが選択される。ただし、サポートされているブラウザのみ。

$ code app.js

// Create a QR Codeを実行するためのpayloadを作成する
let payload = {
    marchantPaymentId: "",
    amount: {
        amount: 1,
        currency: 'JPY'
    },
    codeType: "ORDER_QR",
    orderDescription: "Super Delicious Cake",
    isAuthorization: false,
    redirectUrl: "https://paypay.ne.jp",
    redirectType: "WEB_LINK",
    userAgent: navigator.userAgent
}

PAYPAY.QRCodeCreate(payload, (response) => {
    console.log(response.BODY.resultInfo.code);
})

Get Payment Detailsを実行するコードを追加

結果を取得するためにGet Payment Detailsの処理を書きます。

$ code app.js

const merchantPaymentId = "merchant_payment_id"; // webだと「["merchant_payment_id"]」ってなってたけどStringだよね？

PAYPAY.GetCodePaymentDetails(merchantPaymentId, (response) => {
  console.log(response.BODY.resultInfo.code);
});

ととのえる

主要な処理を書いたので、最低限動かすのにこれはあったほうがいいな、みたいな処理を追加して全体を整えます。

エントリポイントなどを追加

const PAYPAY = require('@paypayopa/paypayopa-sdk-node');
PAYPAY.Configure({
    clientId: process.env.API_KEY,
    clientSecret: process.env.API_SECRET,
    merchantId: process.env.MERCHANT_ID
})

const main = async () => {
    console.log("hoge")

    let payload = {
        marchantPaymentId: "",
        amount: {
            amount: 1,
            currency: 'JPY'
        },
        codeType: "ORDER_QR",
        orderDescription: "Super Delicious Cake",
        isAuthorization: false,
        redirectUrl: "https://paypay.ne.jp",
        redirectType: "WEB_LINK",
        userAgent: undefined
    }
    
    await PAYPAY.QRCodeCreate(payload, (response) => {
        console.log(response.BODY.resultInfo.code);
    })    
}

main()

4.とりあえずここまでで動かしてみる（エラーになる）

さあ！動かしてみよう！

動かなかったよ！

実行

$ API_KEY="<APIキー>" API_SECRET="<シークレット>" MERCHANT_ID="<加盟店ID>" node app.js

This link should help you to troubleshoot the error: https://developer.paypay.ne.jp/develop/resolve?api_name=v2_createDynamicQRCode&code=INVALID_REQUEST_PARAMS&code_id=08100006
INVALID_REQUEST_PARAMS

色々調べた結果keyをtypoしてたので直したよ！

でも動かなかったよ！

リクエストのkeyをtypo(marchant〜になってた。)しててしかも値が入ってなかったので次のように修正

    merchantPaymentId: "865e30d7-f687-0a74-xxx",  // [FIXME]

merchantPaymentIdはユニークじゃないとだめみたいなので動的に生成するように直したよ。

uuid追加。エラー出るので。

This link should help you to troubleshoot the error: https://developer.paypay.ne.jp/develop/resolve?api_name=v2_createDynamicQRCode&code=DUPLICATE_DYNAMIC_QR_REQUEST&code_id=01652073
{
  "STATUS": 400,
  "BODY": {
    "resultInfo": {
      "code": "DUPLICATE_DYNAMIC_QR_REQUEST",
      "message": "Duplicate Dynamic QR request error | [OPA86B640275E7544D5BBC3CAB87F997FF9]",
      "codeId": "01652073"
    },
    "data": null
  }
}

$ npm i uuid --save

以下のように変更

const uuid = require('uuid');
：
    let payload = {
        merchantPaymentId: uuid.v4(),
：

5.最終結果

諸々修正後、正しく動くようになりました。実行します。

$ API_KEY="<APIキー>" API_SECRET="<シークレット>" MERCHANT_ID="<加盟店ID>" node app.js

{
  "STATUS": 201,
  "BODY": {
    "resultInfo": {
      "code": "SUCCESS",
      ︙
    },
    "data": {
        ︙
      "url": "https://qr-stg.sandbox.paypay.ne.jp/28180104l7Fxc3t6JSd0npEd",
        ︙
    }
  }
}

返ってきたurlにブラウザでアクセスします。するとこんな感じで決済画面がでます。

決済画面の認証エリアにPCからテストユーザの情報を入れます。

テストユーザというのは、TOPの「テストユーザ」タブの情報です。

支払情報を入れます

支払い完了ページがでます

このあと指定のURLにリダイレクトされます。

めでたしめでたし。

user

5月 10, 2022

PayPay

[AWS]AWSの代表的なストレージサービスについてまとめてみた
はじめに

AWSの代表的なストレージサービスについて、よく知らなかったのでまとめてみた

まとめ

一般的なストレージのタイプ

ブロックストレージ
- データを物理的なディスクにブロック単位で管理するストレージ
ファイルストレージ
- データをファイル単位で管理するストレージ
オブジェクトストレージ
- ファイルを「オブジェクト」単位で管理するストレージ。オブジェクトとは、メタデータとファイルをひとまとめにしたデータ。
Amazon EBS(Elastic Block Store)
- ブロックストレージサービス
  - ブロックストレージとは、「ブロック」の単位でデータを保存するストレージ
- 1つのEC2(インスタンス)に1つ割り当て可能
  - ただし、マルチアタッチ機能により複数同時アタッチも可能なケースも有る
- 同じAZ内のEBSしかアタッチできない
  - 別なAZに移す場合にはスナップショットをとって新規に作る必要がある
- 代表的なボリュームタイプが複数存在する
  - 汎用SSD
    汎用タイプ
    3〜16000 IOPS
  - プロビジョンドIOPS SSD
    最も高性能なタイプ
    50〜64000 IOPS
  - スループット最適化HDD
    1TBあたり 40MB〜500MB/秒のベースライン性能
  - Cold HDD
    最も低コスト
    1TBあたり 12MB/秒〜250MB/秒のベースライン性能
- ベースライン性能とバースト性能
  - バースト性能
    一時的な処理量の増加に対応
  - ベースライン性能
    普段の処理用
- EBSで何が拡張・変更できるのか
  - 容量
    拡張はできるが縮小はできない
  - ボリュームタイプ
- 可用性・耐久性・セキュリティが高い
  - SLA：99.99% / 月
Amazon EFS(Elastic File Server)
- ファイルストレージサービス
- EFSの構成要素
  - ファイルシステム
    NTFSやAPFSなどの方式
  - マウントターゲット
    マウントに必要な情報
  - セキュリティグループ
    通信制限などの設定
- EFSのパフォーマンスモード
  - 汎用
  - 最大I/O
    数百〜数千台といったクライアントから同時にEFSへアクセスがある場合などに利用
    PercentIOLimitメトリクスで要否を判断するとよい
- EFSのスループットモード
  - バーストスループット
  - プロビジョニングスループット
Amazon S3(Simple Storage Service)
- オブジェクトストレージサービス
  - ファイルストレージサービスっぽいけどちょっと違う
- 構成要素
  - バケット
    フォルダみたいなもの
  - オブジェクト
    ファイルみたいなもの
  - メタデータ
    オブジェクトの管理情報
- S3の整合性
  - 結果整合性方式を採用している
    要はラグる
- ストレージクラス
  - S3標準
  - 低頻度アクセス
  - Inteligent-Tiering
  - Glacier
  - Glacier Deep Archive
- ライフサイクル管理
  - 移行アクション
    利用頻度に応じてストレージクラスを変更するオプション
  - 有効期限アクション
    指定された期限を超えたオブジェクトを削除するオプション
- バージョニング
- Webサイトホスティング機能
- アクセス管理機能
  - バケットポリシー
    独自の記法で、アクセスできる条件を細かくセットできる
  - ACL
    オブジェクト単位で公開・非公開を設定できる
最後に

S3が全然Simpleじゃない
hirobel

5月 3, 2022

AWS, 勉強会

KMSとCloudHSMについて勉強した

はじめに

やってみたこと

最後に

参考

[AWS]セキュリティとアイデンティティについてまとめてみた

概要

AWSのアカウントの種類

IAM

[AWS]AWSのデータベースサービスとは

やってみたこと

そもそも、データベースとは？

DynamoDB

概要

特徴

RDS

概要

ストレージタイプ

特徴

Amazon Auroraというサービス

Redshift

概要

Redshiftの構成

Redshiftの特徴

Elasticache

概要

RDSの集計が遅い、

その他のデータベース

Amazon Neptune

Amazon DocumentDB

Amazon Keyspaces

Amazon Timestream

Amazon QLDB

最後に

参考

PayPay for Developersでウェブペイメントちょっと触ってみた

概要

前提

まとめ

実行結果

やってみたこと

1.nodeのインストール(homebrew, nodebrewのインストール)

2.ライブラリをインストールする

3.コードを書く

clientを生成する

Create a QR Codeを実行するコードを追加

Get Payment Detailsを実行するコードを追加

ととのえる

4.とりあえずここまでで動かしてみる（エラーになる）

5.最終結果

[AWS]AWSの代表的なストレージサービスについてまとめてみた

はじめに

まとめ

最後に