<h2 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h2>
<p>CloudFrontで画像最適化を行うCDNを構築したので、その知見の共有です。</p>
<p>構成としては「CloudFrontを前段に、Lambda@Edge（Node.js)でsharpというライブラリを動かす」というもので、そのCDNに対して、TANOMUという、弊社で開発してるBtoBのSaaSからリクエストが飛ぶ、という流れです。</p>
<p>この構成に関する記事はインターネットにたくさんあるので、今回はより細かい「+α」を共有します。</p>
<p>AWSのブログによる、同様の構成の紹介は下記です。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__f306636b3152d" src="https://embed.zenn.studio/card#zenn-embedded__f306636b3152d" data-content="https%3A%2F%2Faws.amazon.com%2Fjp%2Fblogs%2Fnews%2Fresizing-images-with-amazon-cloudfront-lambdaedge-aws-cdn-blog%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://aws.amazon.com/jp/blogs/news/resizing-images-with-amazon-cloudfront-lambdaedge-aws-cdn-blog/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://aws.amazon.com/jp/blogs/news/resizing-images-with-amazon-cloudfront-lambdaedge-aws-cdn-blog/</a></p>
<p>この記事では、上記のAWSのブログとの差に焦点を当てて、解説します。</p>
<h2 id="%E6%9C%AC%E9%A1%8C">
<a class="header-anchor-link" href="#%E6%9C%AC%E9%A1%8C" aria-hidden="true"></a> 本題</h2>
<h3 id="viewer-request%E9%96%A2%E6%95%B0%E3%81%AB%E3%81%A6%E3%80%81cloudfront-functions%E3%82%92%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#viewer-request%E9%96%A2%E6%95%B0%E3%81%AB%E3%81%A6%E3%80%81cloudfront-functions%E3%82%92%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B" aria-hidden="true"></a> Viewer-Request関数にて、CloudFront Functionsを利用する</h3>
<p>上記のAWSのブログでは、（おそらくCloudFront Functionsがまだ無かったためか）Viewer-Request関数でLambda@Edgeを利用していますが、今回はCloudFront Functionsを利用するようにしました。</p>
<p>CloudFront Functions利用に合わせて、後述する署名で用いるシークレットの保存・呼び出しに、CloudFront KeyValueStoreを利用しました。</p>
<p>今回はAWS CDKで構築したのですが、CloudFront KeyValueStoreを利用することで、コードにシークレットを記述せずにすみ、また「CLIから実行時にシークレットを渡す」のような追加の実装も必要ない、というメリットがありました。</p>
<h3 id="viewer-request%E9%96%A2%E6%95%B0%E3%81%AB%E3%81%A6%E3%80%81%E7%BD%B2%E5%90%8D%E3%81%AE%E6%A4%9C%E8%A8%BC%E3%82%92%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#viewer-request%E9%96%A2%E6%95%B0%E3%81%AB%E3%81%A6%E3%80%81%E7%BD%B2%E5%90%8D%E3%81%AE%E6%A4%9C%E8%A8%BC%E3%82%92%E3%81%99%E3%82%8B" aria-hidden="true"></a> Viewer-Request関数にて、署名の検証をする</h3>
<p>アプリ側でURLとパラメータから署名を生成して、Viewer-Request関数でその署名を検証することで、アプリ以外からのリクエストを弾くようにしました。</p>
<p>今回は、後述するようにキャッシュバージョンをクエリパラメータに乗せるようにしたので、攻撃者がキャッシュバージョンを無限にインクリメントすることで、無限に新しい画像最適化を実行させることが可能だったため、署名の検証でこれを防ぐようにしました。</p>
<h3 id="%E3%82%AD%E3%83%A3%E3%83%83%E3%82%B7%E3%83%A5%E3%81%AE%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%82%92%E3%82%AF%E3%82%A8%E3%83%AA%E3%83%91%E3%83%A9%E3%83%A1%E3%83%BC%E3%82%BF%E3%81%AB%E4%B9%97%E3%81%9B%E3%82%8B">
<a class="header-anchor-link" href="#%E3%82%AD%E3%83%A3%E3%83%83%E3%82%B7%E3%83%A5%E3%81%AE%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%82%92%E3%82%AF%E3%82%A8%E3%83%AA%E3%83%91%E3%83%A9%E3%83%A1%E3%83%BC%E3%82%BF%E3%81%AB%E4%B9%97%E3%81%9B%E3%82%8B" aria-hidden="true"></a> キャッシュのバージョンをクエリパラメータに乗せる</h3>
<p>画像最適化の結果、想定外の出力がされた場合に、キャッシュをクリアできるように、クエリパラメータでキャッシュのバージョン番号を指定するようにしました。</p>
<p>想定してる流れは、下記のようになります。</p>
<ol>
<li>ブラウザから <code>xxx.jpg?cache=1</code>にリクエストが行われる</li>
<li>Lambad@Edgeにて画像最適化が行われ、<code>/xxx_cache-1.jpg</code> というパスで、S3に保存される</li>
<li>CloudFrontでキャッシュが保存されたうえで、ブラウザに返却される</li>
<li>ブラウザでキャッシュが保存されたうえで、画像が描画される</li>
</ol>
<p>ここで、描画された画像になんらかの異常があった場合、</p>
<ol start="5">
<li>アプリ側でキャッシュバージョンをインクリメント</li>
<li>ブラウザから <code>xxx.jpg?cache=2</code>にリクエストが行われる</li>
<li>Lambad@Edgeにて画像最適化が行われ、<code>/xxx_cache-2.jpg</code> というパスで、S3に保存される</li>
<li>（以下おなじ）</li>
</ol>
<p>とすることで、キャッシュクリアを容易にすることができます。</p>
<h3 id="origin-request%E9%96%A2%E6%95%B0%E3%81%AB%E3%81%A6%E3%80%81lambda%40edge%E3%81%A7%E3%80%81%E7%94%BB%E5%83%8F%E6%9C%80%E9%81%A9%E5%8C%96%E3%82%92%E8%A1%8C%E3%81%86">
<a class="header-anchor-link" href="#origin-request%E9%96%A2%E6%95%B0%E3%81%AB%E3%81%A6%E3%80%81lambda%40edge%E3%81%A7%E3%80%81%E7%94%BB%E5%83%8F%E6%9C%80%E9%81%A9%E5%8C%96%E3%82%92%E8%A1%8C%E3%81%86" aria-hidden="true"></a> Origin-request関数にて、Lambda@Edgeで、画像最適化を行う</h3>
<p>上記のAWSのブログでは、Origin-Response関数でLambda@Edgeを呼んでいますが、今回はOrigin-Request関数で、Lambda@Edgeを呼ぶようにしました。</p>
<p>その理由としては、Lambad@Edgeの制限として、「オリジンレスポンスイベント」の「ヘッダーと本文を含む、Lambda 関数によって生成されたレスポンスのサイズ」が1MBですが、アプリの仕様として画像サイズの上限はそれを超える、としていたためです。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__e4c89a1f32adf" src="https://embed.zenn.studio/card#zenn-embedded__e4c89a1f32adf" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2FAmazonCloudFront%2Flatest%2FDeveloperGuide%2Fcloudfront-limits.html%23limits-lambda-at-edge" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html#limits-lambda-at-edge" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html#limits-lambda-at-edge</a></p>
<p>そこで、Origin-Request関数で「指定されたURIに最適化後の画像が無ければ、最適化後の画像を生成して、対象のURIに保存」とすることで、この制約を回避しました。</p>


CloudFrontで画像最適化CDNを構築した際の「+α」の共有

Viewer-Request関数にて、CloudFront Functionsを利用する

Viewer-Request関数にて、署名の検証をする

キャッシュのバージョンをクエリパラメータに乗せる

Origin-request関数にて、Lambda@Edgeで、画像最適化を行う

Discussion