![[日本語Alexa] AudioPlayerで署名付きURL(Pre-Signed URL)を使用する](https://devio2023-media.developers.io/wp-content/uploads/2017/07/alexa-eyecatch.png)
[日本語Alexa] AudioPlayerで署名付きURL(Pre-Signed URL)を使用する
1 はじめに
Alexaでは、AudioPlayerインターフェースを使用してAudioファイル(音楽などのMP3)を再生することができます。
この時に指定するAudioファイルのURLは、一般に公開され外部からアクセス可能である必要があります。そして、AVS(Echo端末など)は、URLを元にAudioファイルを直接ダウンロードします。
Echoで再生されるのは問題ないが、ブラウザなどでダウンロード出来てしまうのはちょっと・・・というような場合、Audioファイルを公開状態で置くのは、ちょっと問題に感じるかも知れません。
そこで今回は、AudioファイルをS3に配置し、スキルから返すURLを、一時的にしか使用できない署名付きURLで指定してみました。
2 署名付きURL(Pre-Signed URL)
署名付きURL(Pre-Signed URL) とは、S3上のオブジェクトに期限付きURLを生成する機能です。アップロードとダウンロードの2種類がありますが、今回は、ダウンロードのみを使用します。
署名付きURLは、AWS-SDKで簡単に生成できます。
var AWS = require('aws-sdk');
var s3 = new AWS.S3({region: 'us-east-1'});
function getSignedUrl(key, bucket, expires, callback) {
var params = {
Bucket: bucket,
Key: key,
Expires: expires
};
s3.getSignedUrl('getObject', params, function (err, url) {
callback(url);
});
}
上記を使用しているようすです。30秒だけアクセスできるURLを生成して、AudioPlayerディレクティブを返しています。
'PlayIntent': function () {
const bucket = 'pre-signed-url-sample';
const key = 'sample.mp3';
const expires = 30;
getSignedUrl(key, bucket, expires, url => {
this.response.speak('音楽再生を開始します').audioPlayerPlay('REPLACE_ALL', url, url, null, 0); // urlをそのままtokenに使用しています。
this.emit(':responseReady');
})
}
Lambdaには、AmazonS3ReadOnlyAccessを追加する必要がありますが、S3上のバケットやファイル自体を公開する必要はありません。
3 CloudFront経由
次は、S3から直接ダウンロードさせるのではなく、CloudFrontを挟んだ場合です。
(1) CloudFrontの設定
CloudFront経由でのみS3にアクセスできる状態にしたところから設定してみます。
この状態では、CloudFlontのURLを使用して自由にアクセスできています。
(2) Behaviorsの設定
BehaviorsタブからRestrict Viwer Access(Use Signed URLs or Signed Cookies)をYesにする
StatusがDeployedになれば、CloudFlont経由のアクセスができなくなります。
(3) キーペアの作成
CloudFrontで署名付きURLを使用するためには、CloudFront用のキーペアが必要です。 (この処理はAWSアカウント(ルートアカウント)でないと作業できません)
アカウントのプルダウンメニューからセキュリテイ認証情報を選択します。
CloudFrontのキーペアから新しいキーペアの作成を行います。
秘密鍵(pk-xxxx.pem)をダウンロードして、Lambdaのコードと一緒に配置します。
(4) 紐付け
CloudFrontのキーペアは、CloudFrontのディストリビューションに紐付ける必要があります。
Behaviorの設定で、Restrict Viewer AccessをYesにします。
キーペアの所有者とディストリビューションを作成したアカウントが同じであればTrusted Signersは、Selfになります。また、別のAWSアカウントであればSpecify Accountsにチェックを入れ、該当のAWSアカウント番号を入力します。
CloudFrontの署名付きURLは、AWS-SDKで簡単に生成できます。
const cf = require('aws-cloudfront-sign')
function getSignedUrl(keypairId, privateKeyPat, expires) {
var options = {
keypairId: keypairId,
privateKeyPath: privateKeyPat,
expireTime: (new Date().getTime() + expires * 1000)
}
// CloudFrontのURL
return cf.getSignedUrl('https://xxxxxxxx.cloudfront.net/sample.mp3', options);
}
上記を使用しているようすです。30秒だけアクセスできるURLを生成して、AudioPlayerディレクティブを返しています。
'PlayIntent': function () {
const keypairId = 'XXXXX';
const privateKeyPath = './pk-XXXXX.pem';
const expires = 30;
let url = getSignedUrl(keypairId, privateKeyPath, expires);
this.response.speak('音楽再生を開始します').audioPlayerPlay('REPLACE_ALL', url, url, null, 0);
this.emit(':responseReady');
}
4 SSMLのAudioタグでは、利用できない
2019/02/22 追記
以前、SSMLのAudioタグで、署名付きURL(Pre-Signed URL)が利用できない旨の記述をしておりましたが、私の検証ミスで、問題なく利用できるとのご指摘を頂きました。 訂正し、お詫び申し上げます。
5 最後に
今回は、AudioPlayerで使用するコンテンツの保護のため、URLを署名付きURLで指定する要領を試してみました。 結論として、問題なく使用できると言えます。
まったく制限の無いコンテンツ以外は、この要領で指定するのが安全なのでは?と感じてます。
まったく制限の無いコンテンツ以外は、この要領で使用した方が良いのでは?と感じています。
6 参考リンク
Discussion Forums - s3.getSignedUrl endpoint problem
[AWS]S3の期限付きURLを生成する[node]
【小ネタ】AWS CLIでS3のPre-Signed URLを生成できるようになっていました!
Boto3でS3のpre-signed URLを生成する
API Gateway + LambdaアプリケーションでS3に署名付きURLを生成しリダイレクトする
![[アップデート]Security Hub のセキュリティ標準に新たに5個のチェック項目が追加されました(2024/11/15)](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e71a738589e583b65670923628e8b6f4/45568b9fd457506bd2f3d6fd304d4b6a/aws-security-hub)
![[アップデート] AMI と EBS スナップショットの Recycle Bin(ごみ箱)保持ルールを CloudFormation で管理出来るようになってました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-bac3d29aa65f45576f73094798087ee5/039ad6f8a7d8f18da47986d21c447f48/amazon-ec2)
