produced by Classmethod ˗ˏˋ 技術とビジネスの祭典 ˎˊ˗ Classmethod ODYSSEY 事前登録受付中

API GatewayのOPTIONSメソッド（CORS）でAPIキーを不要にする（AWS SAM）

API GatewayのCORS用のOPTIONSメソッドで、APIキーを不要にしてみました。

藤井元貴

2024.02.29

API Gatewayを利用すればAPIを簡単に作成できます。そして、APIキーの設定も簡単にできます。このとき、CORS用のOPTIONSメソッドでAPIキー設定を次のようにしたかったので、試してみました。

OPTIONSメソッド：　APIキーは不要でよい
他のメソッド：　APIキーが必須である

まずは、普通にAPIキーが必要なメソッドを作成する

sam init

sam init \
    --runtime python3.11 \
    --name api-gateway-no-required-api-key-in-options-method-sample \
    --app-template hello-world \
    --no-tracing \
    --no-application-insights \
    --structured-logging \
    --package-type Zip

SAMテンプレート

template.yaml

AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
Description: api-gateway-no-required-api-key-in-options-method-sample

Resources:
  MyApi:
    Type: AWS::Serverless::Api
    Properties:
      StageName: v1
      OpenApiVersion: 3.0.1
      ApiKeySourceType: HEADER
      Auth:
        ApiKeyRequired: true
        UsagePlan:
          CreateUsagePlan: PER_API
          UsagePlanName: no-required-api-key-in-options-method-usage-plan
          Quota:
            Limit: 500
            Period: MONTH
          Throttle:
            BurstLimit: 100
            RateLimit: 50
      Cors:
        AllowMethods: "'DELETE,POST,GET,OPTIONS,PUT,PATCH'"
        AllowHeaders: "'Content-Type,X-Amz-Date,Authorization,X-Api-Key,X-Amz-Security-Token'"
        AllowOrigin: "'https://www.example.com'"  # 実験のため、適当に設定しています。適切な値を設定してください。

HelloWorldFunction:
    Type: AWS::Serverless::Function
    Properties:
      CodeUri: hello_world/
      Handler: app.lambda_handler
      Runtime: python3.11
      Architectures:
      - x86_64
      Events:
        HelloWorld:
          Type: Api
          Properties:
            Path: /hello
            Method: get
            RestApiId: !Ref MyApi

HelloWorldFunctionLogGroup:
      Type: AWS::Logs::LogGroup
      Properties:
        LogGroupName: !Sub /aws/lambda/${HelloWorldFunction}

Lambdaコード

今回の実験ではブラウザからアクセスしないので不要ですが、「headers」も返しておきます。

app.py

import json

def lambda_handler(event, context):

<pre><code>return {
    &quot;statusCode&quot;: 200,
    &quot;headers&quot;: {
        &quot;Access-Control-Allow-Methods&quot;: &quot;DELETE,POST,GET,OPTIONS,PUT,PATCH&quot;,
        &quot;Access-Control-Allow-Headers&quot;: &quot;Content-Type,X-Amz-Date,Authorization,X-Api-Key,X-Amz-Security-Token&quot;,
        &quot;Access-Control-Allow-Origin&quot;: &quot;https://www.example.com",
    },
    &quot;body&quot;: json.dumps(
        {
            &quot;message&quot;: &quot;hello world&quot;,
        }
    ),
}
</code></pre>

デプロイ

sam deploy \
    --guided \
    --region ap-northeast-1 \
    --stack-name api-gateway-no-required-api-key-in-options-method-sample-stack

OPTIONSメソッドでAPIキーが必須になっていることを確認する

上記の内容をデプロイしたとき、API Gatewayの動作は、APIキーが無いと403が返ってきます。

OPTIONSメソッド（APIキーなし）は、403が返ってくる

$ curl -X OPTIONS -I \
    https://xxx.execute-api.ap-northeast-1.amazonaws.com/v1/hello

HTTP/2 403

OPTIONSメソッド（APIキーあり）は、200が返ってくる

$ curl -X OPTIONS -I \
    -H "x-api-key: valid-api-key" \
    https://xxx.execute-api.ap-northeast-1.amazonaws.com/v1/hello

HTTP/2 200

GETメソッド（APIキーなし）は、403が返ってくる

$ curl -X GET -I \
    https://xxx.execute-api.ap-northeast-1.amazonaws.com/v1/hello

HTTP/2 403

GETメソッド（APIキーあり）は、200が返ってくる

$ curl -X GET -I \
    -H "x-api-key: valid-api-key" \
    https://xxx.execute-api.ap-northeast-1.amazonaws.com/v1/hello

HTTP/2 200

OPTIONSメソッドは、APIキーを不要に設定する

SAMテンプレート

「AddApiKeyRequiredToCorsPreflight」を追加しました。未指定の場合は、デフォルトでtrueが設定されるのです。

template.yaml

AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
Description: api-gateway-no-required-api-key-in-options-method-sample

Resources:
  MyApi:
    Type: AWS::Serverless::Api
    Properties:
      StageName: v1
      OpenApiVersion: 3.0.1
      ApiKeySourceType: HEADER
      Auth:
        ApiKeyRequired: true
        AddApiKeyRequiredToCorsPreflight: false
        UsagePlan:
          CreateUsagePlan: PER_API
          UsagePlanName: no-required-api-key-in-options-method-usage-plan
          Quota:
            Limit: 500
            Period: MONTH
          Throttle:
            BurstLimit: 100
            RateLimit: 50
      Cors:
        AllowMethods: "'DELETE,POST,GET,OPTIONS,PUT,PATCH'"
        AllowHeaders: "'Content-Type,X-Amz-Date,Authorization,X-Api-Key,X-Amz-Security-Token'"
        AllowOrigin: "'https://www.example.com'"  # 実験のため、適当に設定しています。適切な値を設定してください。

HelloWorldFunction:
    Type: AWS::Serverless::Function
    Properties:
      CodeUri: hello_world/
      Handler: app.lambda_handler
      Runtime: python3.11
      Architectures:
      - x86_64
      Events:
        HelloWorld:
          Type: Api
          Properties:
            Path: /hello
            Method: get
            RestApiId: !Ref MyApi

HelloWorldFunctionLogGroup:
      Type: AWS::Logs::LogGroup
      Properties:
        LogGroupName: !Sub /aws/lambda/${HelloWorldFunction}

デプロイ

sam deploy

OPTIONSメソッド（APIキーなし）は、200が返ってくる

目論見通り、403ではなく、200が返ってきました。

$ curl -X OPTIONS -I \
    https://xxx.execute-api.ap-northeast-1.amazonaws.com/v1/hello

HTTP/2 200

OPTIONSメソッド（APIキーあり）は、200が返ってくる

$ curl -X OPTIONS -I \
    -H "x-api-key: valid-api-key" \
    https://xxx.execute-api.ap-northeast-1.amazonaws.com/v1/hello

HTTP/2 200

GETメソッド（APIキーなし）は、403が返ってくる

$ curl -X GET -I \
    https://xxx.execute-api.ap-northeast-1.amazonaws.com/v1/hello

HTTP/2 403

GETメソッド（APIキーあり）は、200が返ってくる

$ curl -X GET -I \
    -H "x-api-key: valid-api-key" \
    https://xxx.execute-api.ap-northeast-1.amazonaws.com/v1/hello

HTTP/2 200

API GatewayのOPTIONSメソッド（CORS）でAPIキーを不要にする（AWS SAM）

おすすめの方

まずは、普通にAPIキーが必要なメソッドを作成する

sam init

SAMテンプレート

Lambdaコード

デプロイ

OPTIONSメソッドでAPIキーが必須になっていることを確認する

OPTIONSメソッド（APIキーなし）は、403が返ってくる

OPTIONSメソッド（APIキーあり）は、200が返ってくる

GETメソッド（APIキーなし）は、403が返ってくる

GETメソッド（APIキーあり）は、200が返ってくる

OPTIONSメソッドは、APIキーを不要に設定する

SAMテンプレート

デプロイ

OPTIONSメソッド（APIキーなし）は、200が返ってくる

OPTIONSメソッド（APIキーあり）は、200が返ってくる

GETメソッド（APIキーなし）は、403が返ってくる

GETメソッド（APIキーあり）は、200が返ってくる

参考

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

API GatewayのOPTIONSメソッド（CORS）でAPIキーを不要にする（AWS SAM）

おすすめの方

まずは、普通にAPIキーが必要なメソッドを作成する

sam init

SAMテンプレート

Lambdaコード

デプロイ

OPTIONSメソッドでAPIキーが必須になっていることを確認する

OPTIONSメソッド（APIキーなし）は、403が返ってくる

OPTIONSメソッド（APIキーあり）は、200が返ってくる

GETメソッド（APIキーなし）は、403が返ってくる

GETメソッド（APIキーあり）は、200が返ってくる

OPTIONSメソッドは、APIキーを不要に設定する

SAMテンプレート

デプロイ

OPTIONSメソッド（APIキーなし）は、200が返ってくる

OPTIONSメソッド（APIキーあり）は、200が返ってくる

GETメソッド（APIキーなし）は、403が返ってくる

GETメソッド（APIキーあり）は、200が返ってくる

参考

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜フィンテック / リテール 業界案件特集〜 を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

関連記事

API Getewayの実行ログ保持期間をCDKで設定する方法 <Custom Resources と Lambda関数を使用する場合>

การใช้งาน AWS Lambda และ Amazon API Gateway ร่วมกับโปรเจกต์ React

Create API Gateway using AWS CDK

[アップデート] Amazon Verified Permission の新しいセットアップオプションで、API Gateway + Cognito を対象とした認可ロジックやポリシーストアを簡単に作成出来るようになりました

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！