本日のお題

AWS CDK（以下「CDK」と記載）において、既存のS3バケットを別バケットの「サーバーアクセスログ」の送信先に設定すると、CloudFormation（以下「CFn」と記載）にデプロイした際にエラーになる

詳細

（Webホスティングを行っているS3バケットなど）Public Readに設定しているS3バケットにおいて、サーバーアクセスログを有効にしてアクセス監視・解析をするということは、運用上よくあると思います。（定義については「参考情報：AWS CDKでアクセスログを有効にする方法」を参照）

ところが、サーバーアクセスログの送信先に既存のバケットを指定した場合、これをデプロイすると、CloudFormationでなぜか以下のエラーが発生する場合があります。

Resource handler returned message: "The bucket does not allow ACLs (Service: S3, Status Code: 400, Request ID:..(中略)..., HandlerErrorCode: InvalidRequest)

本日はこの問題についてのお話です。

いきなり結論

先に結論から言ってしまうと、「サーバーアクセスログを有効にした場合、CDKが『ACLを有効にするCFnテンプレート』を出力する」ことがエラーの原因です。

サーバーアクセスログを有効にした場合、CDKは送信先バケットのプロパティとして、下記CFnテンプレートを出力します。

ただ、このテンプレートは、AccessControl や ObjectOwnership(=オブジェクト所有者) が ObjectWriter だったりすることからも分かる通り「ACL（Access Control List）が有効」の時のテンプレートになっています。

 {
   "AccessControl": "LogDeliveryWrite",
   "BucketName": "fortune-tmm-auth0-logo-bucket-dev-accesslog",
   "OwnershipControls": {
     "Rules": [
       {
         "ObjectOwnership": "ObjectWriter"
       }
     ]
   },
}

しかしS3のデフォルトは「ACL無効」なので*1、既存バケット(=ACLが無効)に対してこの設定を適用しようとすると、「ACL無効のバケットにACL有効時のプロパティを設定しようとしている」となり、エラーになってしまいます。

なお、これはあくまで「既存バケット」の場合であり、新規作成するバケットならエラーは発生しないかもしれませんが、現在はS3バケットのアクセス制御はバケットポリシーを使用することが推奨されているため、「ACL有効」のプロパティを出力するのはあまりよろしくないです。

プロパティを（強引に）書き換える

上記の現象は「ACL有効の設定を強制的に書き換える」ことで対応できます。

具体的には下記の対応をします。

• AccessControl を削除する
• ObjectOwnership を BucketOwnerEnforced (=バケット所有者の強制)にする、または OwnershipControls を削除する*2

ただしL2 Constructでは上記を実行できないので、node.defaultChild を使用してL1 Constructに変換した後で実行します。

具体的には、先述のソースの末尾に下記ソースを追加します。

const cfnLogBucket = logBucket.node.defaultChild as s3.CfnBucket;
  
// ObjectOwnershipの上書き。
// もちろんaddPropertyDeletionOverride('OwnershipControls') でもOK  
cfnLogBucket.addPropertyOverride('OwnershipControls.Rules.0.ObjectOwnership', 'BucketOwnerEnforced');
  
// AccessControlの削除
cfnLogBucket.addPropertyDeletionOverride('AccessControl');

なお、addProperty系メソッドでプロパティに配列のキーを指定する方法は、以下のCDK公式ドキュメントを参照してください。
addOverride(path, value)

参考情報：AWS CDKでアクセスログを有効にする方法

AWS CDKでサーバーアクセスログを有効にする場合、下記コードを記載します。

import * as cdk from 'aws-cdk-lib';
import { aws_iam as iam, aws_s3 as s3 } from 'aws-cdk-lib';  
  
// アクセスログを有効にするバケットのバケット名
const departureBucketName = `departure`;
  
// アクセスログの送信先Bucket
const logBucket = new s3.Bucket(this, `LogBucket`, {
  bucketName: 'destinationLogBucket' ,
  removalPolicy: cdk.RemovalPolicy.RETAIN_ON_UPDATE_OR_DELETE,
});
  
// アクセスログの送信先Bucketのバケットポリシー
logBucket.addToResourcePolicy(
  new iam.PolicyStatement({
    effect: iam.Effect.ALLOW,
    principals: [new iam.ServicePrincipal('logging.s3.amazonaws.com')],
    actions: ['s3:PutObject'],
    resources: [`arn:aws:s3:::destinationLogBucket/*`],
    conditions: {
      ArnLike: {
        'aws:SourceArn': `arn:aws:s3:::${departureBucketName}`,
      },
      StringEquals: {
         'aws:SourceAccount': <アカウント番号>,
      },
    },
  }),
);
  
// アクセスログを有効にするBucket
const departureBucket = new s3.Bucket(this, `DepartureBucket`, {
  // blockPublicAccessは無くてもいいかも
  blockPublicAccess: s3.BlockPublicAccess.BLOCK_ACLS,
  bucketName: departureBucketName,
  publicReadAccess: true,
  removalPolicy: cdk.RemovalPolicy.RETAIN_ON_UPDATE_OR_DELETE,
  serverAccessLogsBucket: logBucket,
  serverAccessLogsPrefix: 'logs/',
});
   
// アクセスログを有効にするBucketのバケットポリシー
// iam.StarPrincipal()は「Principal: '*'」という定義を作成するメソッド
departureBucket .addToResourcePolicy(
  new iam.PolicyStatement({
    effect: iam.Effect.ALLOW,
    principals: [new iam.StarPrincipal()],
    actions: ['s3:GetObject'],
    resources: [`arn:aws:s3:::${departureBucketName}/*`],
  }),
);

なお、サーバーアクセスログで送信先バケットに必要なバケットポリシーについては、下記のAWS公式ドキュメントを参考にしてください。
docs.aws.amazon.com

それでは、今回はこの辺で

※2024/04/28：諸事情により、一部内容を修正しました。

はじめに

2022年9月から約1年半勤めた株式会社DeNA（以下DeNA）を4/26(金)で退職しましたので、その退職エントリーを書こうと思います。

※正式には5/31(金)退職で、4/26(金)最終出社となりました。（ちなみに私のゴールデンウィークは37連休です）

DeNAで何をやってたの？

肩書き上は「クラウドアーキテクト」として、

• モバゲーのアプリ開発部署にてAWSの管理や関連サービスのアーキテクチャ設計、
• IaC(Infrastructure as Code, 業務ではServerless FrameworkやAWS CDK)を用いたインフラ構築、運用管理、
• 一部開発・テスト（TypeScript/Jest/Node.js）

なんかを担当していました。

その他、DeNAがプラチナスポンサーをつとめるYAPC:2023, YAPC:2024での支援、及び各種イベントでの登壇なんかをやりました

自分はDeNAに就職する前は6年間フリーランスだったのですが、久しぶりに正社員に戻って、色々経験することができました。

特にモバゲーという大規模サービスの運用に携わることができたこと、そしてYAPC:2023, YAPC:2024といった大きな技術カンファレンスにスポンサーとしてブース出展などに携わることができたのは、とても良い経験になりました。

何で辞めようと思ったの？

私がJAWS-UG CDK支部（と名古屋支部）に深く携わっていることもあり、IaC(特にAWS CDK)を用いたインフラ構築・組織でのAWS運用やオブザーバビリティ・SREに非常に興味を持ち、それを深く追求していきたいと考えるようになったからです。

もちろんDeNAでもそれは考えており、昨年の秋くらいから色々それができるよう、自分なりに模索したんですが、色々なタイミングなどがうまくかみ合わず、残念ながら思うような結果が出ませんでした。（そりゃアプリ「開発」部署ですからね...）

とはいえ、同じグループメンバーとの仲は良好でしたし、そこまで「今すぐ辞めてやる」というよりは「どうするか葛藤している」という感じだったので、かなり悩みました。） *1

ただそれでも、今になって振り返ると「ああいうアクションを取ればよかったんじゃないか」「こういう視点が足りなかったんじゃないか」と自分に足りなかった点があると感じる部分は多々あります。（自分なりに結論が出て、いろいろ落ち着いた状態になったから色々アイデアが出てくるのかもしれません）

次は何するの？

（4月～5月は有休消化で）6月からは某アプリにおいて、AWS環境のIaC(AWS CDKやTerraform)を用いたインフラ構築・組織でのAWS運用・オブザーバビリティ・SREといった業務にガッツリ携わります。

業務でソースコード(TypeScriptなど)を書く機会は減ると思いますが、全く書かないことはないでしょうし、個人では引き続きバックエンドアプリエンジニアとして、主にLambdaのソースコードを書くことと思います。

Special Thanks！

株式会社DeNAの関係者の皆さん、1年半お世話になりました。 6年間のフリーランス生活から会社員に戻って、色々新しい経験することができました。ありがとうございました！

それでは、今回はこの辺で。

本日のお題

AWS環境で、AWS Secret Manager(以下「Secret Manager」)を使用して、Amazon RDS(以下「RDS」)のシークレット情報管理＆シークレットローテーションを使用している場合に、AWS CloudFormation(以下「CFn」)でデプロイを実施すると、下記エラーが発生して、デプロイが失敗する場合があります。

「A previous rotation isn’t complete. That rotation will be reattempted（訳：前回のシークレットローテーションが完了していません。ローテーションは再試行されます）」

このエラーの原因と対処方法、及びAWS CDKでそれを実装する方法を記載します。

参考リンク

• プライベート VPC 内で AWS Secrets Manager シークレットをローテーションする | AWS re:Post
• AWS Secrets Managerでシークレットが正常にローテーションできなかった時の対応方法 | DevelopersIO

いきなり結論から

結論としては、ほとんどの場合「以下のいずれかの理由で、ローテーション用Lambda関数（以下「Lambda関数」）がSecret ManagerやRDSにアクセスできず、結果シークレットのローテーションが完了できなかったから」が原因になります。

• Lambda関数が存在するサブネットに、Secret Managerへ到達するためのルーティングがない
• Lambda関数がRDSへのアクセスを許可されていない

なおLambda関数のログを見ると*1、大抵何かしらのログが出力されており、正常終了していないことが分かります。（一番多いのが下記の「Lambda関数のタイムアウト」）

Task timed out after 30.03 seconds

Lambda関数が存在するサブネットに、Secret Managerへ到達するためのルーティングがない

これですが、Lambda関数Secret Managerに到達するためには、Lambda関数が存在するサブネットが以下いずれかの条件を満たす必要があります。

• NAT Gatewayが存在するサブネットへルーティング可能であること
• ポート443からのインバウンド通信を許可するSecret Manager用のインターフェースエンドポイントが存在する事

今回は、後者の方法について説明します。(この問題が起こる=該当サブネットが分離サブネット *2 の可能性が高いので)

AWS CDKで実装する

AWS CDKで後者の方法を実装するには、下記コードでOKです。

import { aws_ec2 as ec2 } from 'aws-cdk-lib';
  
// 省略してますが、vpcはnew ec2.Vpc(...)で作成したVPCになります
// 
// VPCエンドポイントに割り当てるセキュリティグループを作成する
// アウトバウンドは全許可  
const secretManagerEpSg = new ec2.SecurityGroup(this, 'SecretManagerEpSg', {
  vpc,
  allowAllOutbound: true,
  description: 'Security Group for VPC Endpoint for SecretManager',
});
  
// 上記セキュリティグループにポート443からのアクセスを許可する
secretManagerEpSg.addIngressRule(ec2.Peer.anyIpv4(), ec2.Port.tcp(443));
  
// Lambda関数が存在するサブネットにSecret Manager用の
// インターフェースエンドポイントを作成する。
// それに先程作成したセキュリティグループを割り当てる  
const secretManagerEp = vpc.addInterfaceEndpoint('SecretManagerEndpoint', {
  service: ec2.InterfaceVpcEndpointAwsService.SECRETS_MANAGER,
  subnets: { subnetType: ec2.SubnetType.PRIVATE_ISOLATED },
  securityGroups: [secretManagerEpSg],
});

Lambda関数がRDSへのアクセスを許可されていない

これですが、Lambda関数がローテーションを実施するには、当然RDSへアクセスする必要があります。

なので、Lambda関数はRDSへのアクセスを許可されていないといけません。(ロール・ポリシーはもちろん、ネットワークレベルでも許可されている必要がある)

VPCの場合「Lambda関数のセキュリティグループが、RDSのセキュリティグループのインバウンドとして許可されている」必要があります。

AWS CDKで実装する

AWS CDKで上記の方法を実装するには、下記コードでOKです。

import {
  aws_rds as rds,
  aws_secretsmanager as sm,
} from 'aws-cdk-lib';  
  
// RDSクラスターのcredentialsに紐づけたシークレットの場合  
const dbAdminSecret = new sm.Secret(this, 'DbAdminSecret', {
  ...(定義は省略)      
});  
  
const cluster = new rds.DatabaseCluster(this, 'AuroraCluster', {
  credentials: rds.Credentials.fromSecret(dbAdminSecret),
  ...(その他定義は省略)
});
  
// ローテーション作成  
new sm.SecretRotation(this, 'DbAdminSecretRotation', {
  secret: dbAdminSecret,
  target: cluster,
  ...(その他定義は省略)     
});
  
// その他のシークレットの場合
const dbUserSecret = new sm.Secret(this, 'DbUserSecret', {
  ...(定義は省略)    
});
  
// ローテーション作成
new sm.SecretRotation(this, 'DbUserSecretRotation', {
  secret: dbUserSecret,
  target: cluster,
  ...(その他定義は省略)     
});
  
// 最後、シークレットをクラスターにアタッチするのを忘れないように！
// これを忘れると正常にデプロイできません 
dbUserSecret.attach(cluster);

「あれ、セキュリティグループは？」と思った人がいるかもしれませんが、上記コードを実装すれば、下記を全部自動で行ってくれます。便利！

• ローテーション用Lambda関数、及びそのセキュリティグループの作成
• ローテーション用Lambda関数のRDSへのアクセス許可
  • RDSのセキュリティグループのインバウンドへローテーション用Lambda関数のセキュリティグループの割り当て

上記の対処をしてもやっぱりエラーになるんだけど！という場合の対処法

上記の対応を実施しても、デプロイ時にやっぱり同じエラーが発生するケースがあります。

「エラーに対処するためのコードを実装したのに、そのコードのデプロイ時にエラーが出て反映できない」なんていう本末転倒な事態が起こるわけです。

この現象ですが、SecretRotation の rotateImmediatelyOnUpdate プロパティ*3がデフォルトでtrueになっていることが原因なので、明示的に false を指定することで回避できます。

なおtrue/falseによる挙動の違いは下記となります。

• true: CFnデプロイ時にローテーションを実施する
• false: CFnデプロイ時にローテーションは実施せず、automaticallyAfter で設定した日数が経過したらローテーションを実施する（デフォルトは30日）

それ以外の場合

それ以外の場合、おそらくポリシー関連(ローテーション関数のロールににSecret Managerのシークレット更新、及びそれのRDS適用などのポリシーがアタッチされていない...など)が挙げられます。

ただし今回紹介したAWS CDKのソースを適用すれば、自動で適切なポリシーをアタッチしてくれるので、その辺のエラーは発生しないはずです。

もしカスタムコードを適用して「Access Denied」系のエラーが出た場合は、そのあたりを確認してみてください。

それでは、今回はこの辺で

はじめに

この記事は、JAWS-UG（AWS Users Group – Japan） Advent Calendar 2023 25日目（最終日）の記事です。

qiita.com

JAWS-UGって

いまさら書くまでもないですが、AWS (Amazon Web Services) が提供するクラウドコンピューティングを利用する人々の集まり（コミュニティ）です。

jaws-ug.jp

いわばAWS好きな人たちのコミュニティです。（メインは技術者ですが、もちろん技術者以外でもウェルカムです。）

JAWS-UGで人生が変わった？

いわばJAWS-UGは「（技術者）コミュニティ」なのですが、実際JAWS-UGに参加して「人生が変わった」と言っている人もいます。

例えばAWS HEROの松井さん、JAWS Festa 2023 実行委員長の阿部さんなどで、実際お二人はLTで「JAWS-UGで人生が変わった話」みたいな発表をしています。

技術者コミュニティって、そんなにすごいんでしょうか？

かくいう自分のその一人

これに対しては、自信をもって「そんなにすごい」と言い切れます。

なぜなら自分も、JAWS-UG（正確にいうと技術者コミュニティ）で人生が変わった一人だからです。

コミュニティ活動を行うようになった経緯

私は2019年に、業務都合で本格的にAWSを触り始めました。

が、当時は「AWSって何？」「クラウドって何？」状態でした。

ググっても当然ネットの知識は断片的なものしかなく、どうしよう...さっぱりわからんと思っていました。

そんな時、たまたまServerless Tokyoを見つけまして、それに何回か参加して色々情報を得たおかげで、非常に助けになりました。

また当時は技術者コミュニティなんて知らなかったんですが、「あ、クラウドってこういう技術者同士のつながりが持てるんだ、いいなあ」と感じまして、そこからコミュニティに積極的に参加するようになりました。

そしてその過程でJAWS-UGも知りましたし、そこからもう完全にクラウド沼にはまっていきました。

コミュニティは、モチベーションを与えてくれる存在

また、単にインプットするだけではなく、アプトプットもするようになりました。

私の登壇デビューは上記Serverless Tokyoなのですが、当時は割とレアだった？Serverless Frameworkでの発表ということもあり、結構レスポンスを頂き、励みになりました。(その時の資料が下記)

先日のServerless Tokyoで「自分のアウトプットは、誰かのインプット」という名言が生まれたのですが、アウトプットすること自体が自分のインプットにもなりますし、またそれが誰かのインプットになりレスポンスがたくさんもらえると、モチベーションアップにもなりますし、励みになります。

実際、これをきっかけにJAWS-UG・VSCodeJP・JSConf JPなど数々のコミュニティに参加したり、登壇させて頂く機会も増え、顔を覚えてもらったり、色々お声をかけて頂くことも増えました。
そういう意味でも、私はコミュニティで間違いなく人生が変わりましたし、良かったなあと思っています。

というか、多分そういうコミュニティ活動を行っていなかったら、自分も今頃どうなっていたんだろうな...と思います。

共通のつながりがもてるという素晴らしさ

また、JAWS-UG然りServerless Tokyo然りですが、「共通の認識（例えばAWS）を持つメンバーとつながりが持てる」というのも良い点だと思います。

実際、私はJAWS-UGでかなりつながりが増えて、大変ありがたいことだなあと思っています。

大きいイベント（AWS Summit・re:Invent・JAWS Fastaなど）でそういうメンバーとリアルに会えるのも楽しみで、そのために参加する意欲も増えますし、もちろんそういうメンバー同士で情報交換したり、意見交換したり、切磋琢磨しあうことでモチベーションもかなり上がります。

なにより、普段の業務では絶対会えない全国津々浦々の人たちと意見交換したりできるって、本当にめちゃくちゃ貴重な機会だと思います。

これまた先日のServerless Tokyoで「イベント後の飲み会こそ、最大のインプットの場である」という名言が生まれたのですが、本当にその通りだと思います。

そういう意味で「お山の大将」にならず、常に最新の情報を得たり情報をアップデートする意味でも、JAWS-UGのようなコミュニティに参加する事が大切だなあと実感しています。

まずは参加してみよう

現在私はJAWS-UG CDK支部、及びJAWS-UG 名古屋に深く関わらせてもらっています。

もちろん自分がCDKが好きだったり、名古屋が地元だからということもあるのですが、それを抜きにしてこういうコミュニティに参加する事がモチベーションアップにつながるし、何より楽しいから参加しています。

それこそ、東京とか遠方のイベントに参加すると結構な金額のお金が必要ですが、それでもそれを払ってでも得るものが大きい＆やっぱり楽しいから参加しています。(今年は九州＆北海道にも遠征しましたし)

もちろん、いきなりそれはさすがに気が引ける...と思いますが、もし少しでも「コミュニティ」に興味を持たれたら、まずは出来る範囲でいいので、少しずつ参加してみて、自分が楽しかったら続けてみるといいと思います。（コミュニティはあくまで有志であり、強制するものはありませんので）

でも、もしJAWS-UGなりコミュニティに少しでも興味を持ったら、まずは少しでもいいのでアクションを起こしてみてはいかがでしょうか？

もしかしたら、あなたも人生が変わるかもしれませんよ？

という訳で、今回はこの辺で。