この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

先日、こちらのブログ「AWS API Gateway Developer Portal を使ってAPI定義を公開してみた」にて紹介した、「AWS API Gateway Developer Portal」ですが、今回は作成されたデプロイされたリソースの設定を変更してセキュリティ面の強化等々について考えてみたいと思います。

デプロイ時のオプションを指定することで設定できるものもありますが、今回はAWSコンソール上から設定を変更して、
AWSの設定とともに挙動確認をしてみます。

AWSコンソールから設定変更するとCloudFormation管理から外れるので設定変更は自己責任でお願いします。

IP制限

デプロイされた「API Developer Portal」のリソースにはグローバルから接続可能なAWSコンポーネントとして、「CloudFront」と「APIGateway」、「Cognito」があります。
APIGWリソースを管理・公開するためのものとなるため内部向けのポータルとして利用する場合、接続元IPで制限することがおすすめです。接続元IPが決まっておりホワイトリスト登録可能な場合、「APIGWへリソースポリシー」の設定や各サービスに「WAF」を設定をすることで、アクセスのIPによるホワイトリスト管理が可能となります。
また、WAFを利用すればIP制限の他にも必要に応じてルールを追加することで、悪意のあるアクセスを遮断することも可能なのでセキュリティ面を強化することが可能となります。

自己サインアップの禁止

デフォルトの設定ですと、右上の「Sign Up」ボタンを押下すると誰でもユーザ作成ができてしまいます。
管理者によりユーザ管理をしたい場合、よろしくない設定ですので、こちらを無効化してみます。

自己サインアップの禁止設定

設定にはCognitoの設定を更新する必要があります。
Cognito - ユーザプール
から、ポータルで利用されているユーザプールを選択します。
「サインアップエクスペリエンス」のタブ内にある「セルフサービスのサインアップ」が「有効」になっているので、「編集」から「自己登録を有効化」のチェックを外します。

「自己登録」が「無効」となっていれば設定は完了です。
先ほどと同様に「Register」を押下すると、「Signup is not allowed」と表示され、自分でユーザ追加ができない設定をすることが可能になります。

ロギング

「CloudFront」と「APIGateway」のアクセスログを「S3」もしくは「CloudWatchLogs」へ保管することが可能です。
アクセスの解析等で利用できるので、WAF同様設定しておくことがよさそうです。
上記に加えて、Lambdaも実行ログが「CloudwatchLogs」に出力されていますので、保持期間・ライフサイクル設定によるログの保管期間設定も忘れずに設定しましょう。