AWS SAMを使って署名付きURL発行APIを作る

S3の署名付きURL発行機能の検証を兼ねて、S3のキーをパラメータとして受け取り、署名付きURLを発行するAPIを作ってみました。

はじめはマネージメントコンソールから手動で試していましたが、AWS SAMを使ってコード管理するようにしました。

ソースコードはこちら https://github.com/hilotter/SignedUrlApi

できること

S3のオブジェクトキーをパラメータに付与すると署名付きのURLを発行します。オブジェクトキーごとに有効期限も設定可能です。（デフォルトは300秒）

また、APIの利用にはAPIキーによるアクセス制限をかけています。

※ コンテンツ自体は事前にS3にアップロードしておく必要があります。

# 例：sample.pngに60秒間アクセス可能な署名付きURLを生成する場合
curl -H "x-api-key:{API KEY}" "https://XXXX.execute-api.ap-northeast-1.amazonaws.com/Prod/signed-url?key=sample.png&expires=60"

自身のAWS環境にデプロイしたい場合

• コンテンツ保存用のS3バケットを作成

• SAMで使用するLambdaコードのアップロード用S3バケットを作成

• AWS SAM CLIをインストール

• SignedUrlApiをforkしてcloneしてくる

• template.yamlのBucketNameを書き換える

BucketName: Type: String Default: signed-url-test # TODO: change your bucket name

• デプロイ

# Lambda functionをzip化してs3にアップロード
sam package --template-file template.yaml --output-template-file packaged.yaml --s3-bucket sam-deploy-sample

# Cloudformationでデプロイ
sam deploy --template-file packaged.yaml --stack-name signedUrl --capabilities CAPABILITY\_IAM

• マネージメントコンソールでAPI Gatewayの管理画面にアクセスし、API endpointとAPIキーを確認してcurlなりで試す

SAMを使うことでIAMロールポリシーもコード管理できるので便利ですね。

参考

• aws-samples/serverless-sinatra-sample: Demo code for running Ruby Sinatra on AWS Lambda

• SAM で API Gateway に API Key を設定する - Qiita