PythonでAWS Secrets ManagerからAPIキーを取得するときのちょっとしたポイント

佐藤剛史

2020.07.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

データアナリティクス事業本部＠札幌の佐藤です。

個人の趣味としてAWS LambdaからTwitterへ自動投稿の練習をしています。自動投稿するにはTwitterのAPIキーが必要なのですが、さすがに遊びとはいえソースコード上にAPIキーがハードコーディングされている状況はよろしくないため、練習のためAWS Secrets ManagerでTwitterのAPIキーを管理することにしました。

AWS Secrets ManagerからAPIキーを取得するところで少し考えたところがあるため、些末な事項ではありますが記載したいと思います。

AWS Secrets ManagerへのAPIキー登録

事前にTwitterDeveloperでAPIキーを取得しておいてください。

AWS Secrets Managerを新規作成します。
今回は事前に取得したAPIキーを登録するので、「その他のシークレット」を選択します。

シークレットの名前は今後使用するので任意の名前を設定してください。

自動ローテーションは無効にしておきます。

レビュー画面下部にサンプルコードがあるので、基本的にはこのコードを使えばAWS Secrets Managerからキーを取得するので楽ですね。
今回はPythonで実装しているためPythonのサンプルコードを利用したいと思います。

# Use this code snippet in your app.
# If you need more information about configurations or implementing the sample code, visit the AWS docs:   
# https://aws.amazon.com/developers/getting-started/python/

import boto3
import base64
from botocore.exceptions import ClientError


def get_secret():

    secret_name = "AIKATSU_TWEET"
    region_name = "ap-northeast-1"

    # Create a Secrets Manager client
    session = boto3.session.Session()
    client = session.client(
        service_name='secretsmanager',
        region_name=region_name
    )

    # In this sample we only handle the specific exceptions for the 'GetSecretValue' API.
    # See https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html
    # We rethrow the exception by default.

    try:
        get_secret_value_response = client.get_secret_value(
            SecretId=secret_name
        )
    except ClientError as e:
        if e.response['Error']['Code'] == 'DecryptionFailureException':
            # Secrets Manager can't decrypt the protected secret text using the provided KMS key.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'InternalServiceErrorException':
            # An error occurred on the server side.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'InvalidParameterException':
            # You provided an invalid value for a parameter.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'InvalidRequestException':
            # You provided a parameter value that is not valid for the current state of the resource.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
        elif e.response['Error']['Code'] == 'ResourceNotFoundException':
            # We can't find the resource that you asked for.
            # Deal with the exception here, and/or rethrow at your discretion.
            raise e
    else:
        # Decrypts secret using the associated KMS CMK.
        # Depending on whether the secret is a string or binary, one of these fields will be populated.
        if 'SecretString' in get_secret_value_response:
            secret = get_secret_value_response['SecretString']
        else:
            decoded_binary_secret = base64.b64decode(get_secret_value_response['SecretBinary'])

    # Your code goes here.

変数secretの中身

変数 get_secret_value_response の中身って何だろうということで中身を見てみると、ARNから先ほど登録したAPIキーの情報までを持っている辞書型の変数であることが分かります。

{             'ARN': 'arn:aws:secretsmanager:ap-northeast-1:XXXXXXX:secret:AIKATSU_TWEET-XXXXXX', 
             'Name': 'AIKATSU_TWEET', 
        'VersionId': '0c90934e-6221-49eb-XXXX-5bc4768316e7', 
     'SecretString': '{            "API_KEY":"XXXXXXXXXXXX",
                            "API_SECRET_KEY":"XXXXXXXXXXXX",
                              "ACCESS_TOKEN":"XXXXXXXXXXXX",
                       "ACCESS_TOKEN_SECRET":"XXXXXXXXXXXX"
                      }', 
    'VersionStages': ['AWSCURRENT'], 
      'CreatedDate': datetime.datetime(2020, 6, 22, 14, 31, 8, 276000, tzinfo=tzlocal()), 
 'ResponseMetadata': {     'RequestId': '632e0f98-6462-40d3-XXXX-3ab20c407ef2', 
                      'HTTPStatusCode': 200, 
                         'HTTPHeaders': {            'date': 'Mon, 06 Jul 2020 06:36:30 GMT', 
                                             'content-type': 'application/x-amz-json-1.1', 
                                           'content-length': '505', 
                                               'connection': 'keep-alive', 
                                         'x-amzn-requestid': '632e0f98-6462-40d3-XXXX-3ab20c407ef2'
                                        }, 
                       'RetryAttempts': 0
                     }
}

後続の secret = get_secret_value_response['SecretString'] でAPIキーの情報を取得していますので、変数 secret には SecretString のValueがセットされていますね。

'{            "API_KEY":"XXXXXXXXXXXX",
       "API_SECRET_KEY":"XXXXXXXXXXXX",
         "ACCESS_TOKEN":"XXXXXXXXXXXX",
  "ACCESS_TOKEN_SECRET":"XXXXXXXXXXXX"
}',

ここまで情報がそろっているので、後は変数 secret から各APIキーの情報を取得するだけです。

ただ、変数 get_secret_value_response の中身を見てもわかるように、変数 secret は辞書型ではなく文字列型です。
そのため、変数 secret から単純に要素を取得することはできません。
私は、パッと見で辞書型と勘違いしいたため、Keyを指定しても取得できなくて悩んでしまいました。

文字列型を辞書型にする

格納値的にもシンプルな辞書の構文であることが分かっているため、文字列型をやりくりしてするよりも、素直に辞書型にするほうが楽だと思います。
そのため astモジュールの literal_eval() を使用することで辞書型となります。

式ノードまたは Python のリテラルまたはコンテナのディスプレイ表現を表す文字列を安全に評価します。与えられる文字列またはノードは次のリテラルのみからなるものに限られます: 文字列、バイト列、数、タプル、リスト、辞書、集合、ブール値、 None 。
ast --- 抽象構文木

以下の38行目～46行目の内容となります。

import ast
import base64
import boto3
import json
from botocore.exceptions import ClientError
from requests_oauthlib import OAuth1Session


# AWS Secrets ManagerからAPIキーを取得
def get_apikey():
    session = boto3.session.Session()
    client = session.client(
        service_name = 'secretsmanager',
        region_name = 'ap-northeast-1'
    )

    try:
        get_secret_value_response = client.get_secret_value(SecretId='AIKATSU_TWEET')
    except ClientError as e:
        raise e
    else:
        if 'SecretString' in get_secret_value_response:
            secret = get_secret_value_response['SecretString']
        else:
            secret = base64.b64decode(get_secret_value_response['SecretBinary'])
    return secret


# パラメータストアの取得
def get_ssm_parameter_store(param, WithDecryption=True):

    ssm_client = boto3.client('ssm')
    res = ssm_client.get_parameters(Names=[param], WithDecryption=WithDecryption)
    return res['Parameters'][0]['Value']


def lambda_handler(event, context):
    # 文字列型を辞書型にする
    secret = ast.literal_eval(get_apikey())

    # Twitterの接続
    twitter = OAuth1Session(
        secret['API_KEY'],
        secret['API_SECRET_KEY'],
        secret['ACCESS_TOKEN'],
        secret['ACCESS_TOKEN_SECRET']
    )

    url_update = 'https://api.twitter.com/1.1/statuses/update.json'
    url_media = 'https://upload.twitter.com/1.1/media/upload.json'

    AWS_S3_BUCKET_NAME = get_ssm_parameter_store('AIKATSU_TWEET_MORP_OUTPUT_BUCKET')
    file = 'aikatsu_tweet_wordcloud.jpg'

    s3 = boto3.resource('s3')
    bucket = s3.Bucket(AWS_S3_BUCKET_NAME)

    file_path = '/tmp/' + file
    bucket.download_file(file, file_path) 

    param = { "media" : open(file_path, 'rb').read() }
    res = twitter.post(url_media, files = param)

    if res.status_code == 200 :
        requestJson = json.loads(res.text)
        mediaId = requestJson['media_id']
        params = { "status" : '昨日はアイカツ！について{}人がツイートしていました。こんなワードがホットだったようです。 #aikatsu'.format(tweet_user_num), "media_ids" : (mediaId) }
        res = twitter.post(url_update, params = params)
        if res.status_code == 200 :
            pass
    else:
        print('error:' + str(res.status_code))

    return True

最後に

実際に使用してみて、AWS Secrets Managerは低コストで簡単にAPIキーを管理できるようにでき、実装もサンプルコードを利用することで簡単に実装できるなという印象でした。

PythonでAWS Secrets ManagerからAPIキーを取得するときのちょっとしたポイント

AWS Secrets ManagerへのAPIキー登録

変数secretの中身

文字列型を辞書型にする

最後に

イベント

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【4/18リモート】クラスメソッドのフリーランスエンジニア会社説明会〜AWS/システムアーキテクト/Android案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/19（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

EVENT【4/30（火）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/9（木）】組織的なクラウド統制はじめの一歩

EVENT【4/24（水）リモート】会社員からフリーランスエンジニアへ、変化の時の体験談 [パネルトーク] フリーランストーク#10

PythonでAWS Secrets ManagerからAPIキーを取得するときのちょっとしたポイント

AWS Secrets ManagerへのAPIキー登録

変数secretの中身

文字列型を辞書型にする

最後に

イベント

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【4/18リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜AWS/システムアーキテクト/Android案件特集〜 を開催します

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/19（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

EVENT【4/30（火）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/9（木）】組織的なクラウド統制 はじめの一歩

EVENT【4/24（水）リモート】会社員からフリーランスエンジニアへ、変化の時の体験談 [パネルトーク] フリーランストーク#10

関連記事

How to Fetch Latest Objects from AWS S3 and Store Locally using Python

WindowsマシンでPython環境構築をpoetry + pyenvで再度やってみた

[Amazon Bedrock][LangChain] チャット会話履歴をセッション毎に記憶・保存する方法

Exploring OpenAI Whisper for Speech to Text Generation

EVENT【4/18リモート】クラスメソッドのフリーランスエンジニア会社説明会〜AWS/システムアーキテクト/Android案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【5/9（木）】組織的なクラウド統制はじめの一歩