🛡️
【Terraform】CloudFront Functions を使用して Basic 認証を設定する
たまに必要になるのでメモ。
検証環境
- Terraform v1.3.7
- AWS Provider v4.49.0
サンプルコード
今回紹介するサンプルコードは下記リポジトリで管理しています。
準備
今回は例として S3 バケットのオブジェクトを配信する CloudFront Distribution を作成します。
主題ではないので気になる方のみ読んでください。
サンプルコード
provider.tf
# AWS Provider の設定
provider "aws" {
region = "us-east-1"
}
s3.tf
# S3 バケット
resource "aws_s3_bucket" "main" {
bucket = "example"
}
# S3 バケットのパブリックアクセスを全てブロック
resource "aws_s3_bucket_public_access_block" "main" {
bucket = aws_s3_bucket.main.id
block_public_acls = true
block_public_policy = true
ignore_public_acls = true
restrict_public_buckets = true
}
# 配信するサンプルオブジェクト
resource "aws_s3_object" "hello_txt" {
bucket = aws_s3_bucket.main.id
key = "hello.txt"
content = "Hello, World"
content_type = "text/plain"
}
# バケットポリシー
resource "aws_s3_bucket_policy" "main" {
bucket = aws_s3_bucket.main.id
policy = data.aws_iam_policy_document.s3_main_policy.json
}
# CloudFront 経由でのみアクセスできるようにする
data "aws_iam_policy_document" "s3_main_policy" {
statement {
principals {
type = "Service"
identifiers = ["cloudfront.amazonaws.com"]
}
actions = ["s3:GetObject"]
resources = ["${aws_s3_bucket.main.arn}/*"]
condition {
test = "StringEquals"
variable = "aws:SourceArn"
values = [aws_cloudfront_distribution.main.arn]
}
}
}
cloudfront.tf
data "aws_cloudfront_origin_request_policy" "cors_s3_origin" {
name = "Managed-CORS-S3Origin"
}
data "aws_cloudfront_cache_policy" "caching_disabled" {
name = "Managed-CachingDisabled"
}
# S3 バケット内のオブジェクトを配信する CloudFront
resource "aws_cloudfront_distribution" "main" {
enabled = true
origin {
origin_id = aws_s3_bucket.main.id
domain_name = aws_s3_bucket.main.bucket_regional_domain_name
origin_access_control_id = aws_cloudfront_origin_access_control.main.id
}
viewer_certificate {
cloudfront_default_certificate = true
}
default_cache_behavior {
target_origin_id = aws_s3_bucket.main.id
viewer_protocol_policy = "redirect-to-https"
cached_methods = ["GET", "HEAD"]
allowed_methods = ["GET", "HEAD"]
origin_request_policy_id = data.aws_cloudfront_origin_request_policy.cors_s3_origin.id
cache_policy_id = data.aws_cloudfront_cache_policy.caching_disabled.id
}
restrictions {
geo_restriction {
restriction_type = "none"
}
}
}
# OAC
resource "aws_cloudfront_origin_access_control" "main" {
name = "example"
origin_access_control_origin_type = "s3"
signing_behavior = "always"
signing_protocol = "sigv4"
}
CloudFront Functions を使用して Basic 認証を設定する
ユーザー名・パスワードを定義する
とりあえず Basic 認証に使用するユーザー名とパスワードを変数として定義しておきます。
variables.tf
variable "basicauth_username" {
type = string
}
variable "basicauth_password" {
type = string
sensitive = true
}
terraform.tfvars で任意の値を設定しておきます。
terraform.tfvars
basicauth_username = "user"
basicauth_password = "p@ssw0rd"
CloudFront Function を作成する
まず CloudFront Function のソースコードを作成します。
ファイル名は今回は basicauth.js としておきます。
basicauth.js
function handler(event) {
var request = event.request;
var headers = request.headers;
// ${authString} の部分は Terraform から埋め込まれる
var authString = "Basic ${authString}";
// Authorization ヘッダを検証
if (
typeof headers.authorization === "undefined" ||
headers.authorization.value !== authString
) {
return {
statusCode: 401,
statusDescription: "Unauthorized",
headers: {
"www-authenticate": { value: "Basic" },
},
};
}
return request;
}
続いて CloudFront Function を作成します。
先ほど作成した basicauth.js を templatefile 関数で読み込み、 ${authString} の部分に <ユーザー名>:<パスワード> を Base64 エンコードした値を埋め込んでいます。
cloudfront.tf
# ...省略
# Basic 認証を行う CloudFront Function
+resource "aws_cloudfront_function" "basicauth" {
+ name = "example"
+ runtime = "cloudfront-js-1.0"
+ publish = true
+ code = templatefile(
+ "${path.module}/basicauth.js",
+ {
+ authString = base64encode("${var.basicauth_username}:${var.basicauth_password}")
+ }
+ )
+}
作成した CloudFront Function を CloudFront Distribution に関連付ける
続いて先ほど作成した CloudFront Function を CloudFront Distribution に関連付けます。
CloudFront Distribution の default_cache_behavior ブロック内に function_association ブロックを追加します。
cloudfront.tf
# S3 バケット内のオブジェクトを配信する CloudFront
resource "aws_cloudfront_distribution" "main" {
# ...省略
default_cache_behavior {
# ...省略
+ function_association {
+ event_type = "viewer-request"
+ function_arn = aws_cloudfront_function.basicauth.arn
+ }
}
# ...省略
}
terraform apply を実行する
CloudFront Distribution のドメイン名を確認しやすくするために output を作成しておきます。
output.tf
output "cloudfront_distribution_url" {
value = "https://${aws_cloudfront_distribution.main.domain_name}"
}
terraform apply を実行してリソースを作成します。
$ terraform apply
# ...省略
Apply complete! Resources: 7 added, 0 changed, 0 destroyed.
Outputs:
cloudfront_distribution_url = "https://<CloudFront Distributionのドメイン名>"
これでリソースの作成が完了しました。
動作確認する
今回は例として CloudFront Distribution のオリジンの S3 バケットに hello.txt というオブジェクトを作成しました。
https://<CloudFront Distributionのドメイン名>/hello.txt にブラウザからアクセスしてみると Basic 認証のユーザー名とパスワードの入力ダイアログが表示されます。
ユーザー名とパスワードを入力して hello.txt の内容が表示されれば成功です。
まとめ
さくっと設定できるので便利!!
参考
Discussion