Remix | きいちログ

【Azure】Microsoft Entra IDで認可してBlob Storageを操作してみた

むらおか — Wed, 15 Jan 2025 16:39:45 +0000

Azure Functions などのコンピュートリソースを用意しないで、直接 Blob Storage にファイルをアップロードする方法は無いものか、と考えていたのですが、Microsoft Entra ID で認可できればいいみたいでした。

別解として SAS トークンを利用した認可もありますが、どうやら Entra ID が推奨みたいです。

Azure Blob Storage と JavaScript または TypeScript の概要 - Azure Storage

Azure Blob Storage で動作する JavaScript または TypeScript アプリケーションの開発を開始します。この記事では、プロジェクトを設定し、Azure Blob Storage エンドポイントへのアクセス...

というわけで、今回は Microsoft Entra ID で認可して Blob Storage にファイルをアップロードするところまでやってみます。

本記事紹介している方法は、Microsoft Entra ID やストレージアカウントの RBAC の設定が甘いと思われます。本番環境で利用する場合は十分なレビューが必要です。

構成
Microsoft Entra 管理センター
ストレージアカウント
1. Remix アプリ
動作確認
おわりに

構成

Microsoft Entra ID での認証自体は Remix で作った Web アプリを経由させ、Blob Storage へのアップロードはブラウザから直接行うようにします。登場人物をまとめた図は以下です。

Microsoft Entra 管理センター

Microsoft Entra 管理センターにて、アプリの登録を行います。アプリの登録ではアプリを一意に示す ID とアプリ自体の認証情報を作成します。

手順は以下を参考に。

クイックスタート - サンプル Web アプリでユーザーをサインインする - Microsoft identity platform

従業員テナントの従業員または外部テナントの顧客をサインインさせるサンプル Web アプリを構成する方法を示す Web アプリのクイックスタート

アプリの登録が完了すると、概要ペインからクライアント ID とテナント ID を取得できます。

今回は Web アプリ (機密クライアント) を選択したので、クライアントシークレットを生成します。

パブリックおよび機密のクライアントアプリ (MSAL) - Microsoft identity platform

Microsoft Authentication Library (MSAL) でのパブリッククライアントアプリケーションと機密クライアントアプリケーションについて説明します。

ログイン正常完了時にトークンを送る先をリダイレクト URI として追加します。

ストレージアカウント

Microsoft Entra ID で認証されたユーザーに Blob Storage の操作を許可します。これを実現するには、ロールベースのアクセス制御である Azure RBAC を利用します。

まずは Azure portal から任意のストレージアカウントとコンテナーを作成します。作成できたら、アクセス制御 (IAM) ペインから追加タブ > ロールの割り当ての追加を選択します。

データ共同作業者を選択して次へを選択します。

許可するユーザーを追加してレビューと割り当てを選択します。

Remix アプリ

Remix で作ったものは GitHub にアップしてます。

GitHub - ShotaroMuraoka/azure-entra-auth-blob-storage: Azure Blob Storage へのアクセスを Microsoft Entra ID で認可するアプリ

Azure Blob Storage へのアクセスを Microsoft Entra ID で認可するアプリ - ShotaroMuraoka/azure-entra-auth-blob-storage

以降はポイントのみを説明していきます。

ライブラリ

Remix で Microsoft Entra ID を使った認証と Blob Storage の操作を行うのに以下のライブラリを利用しています。

remix-auth: 3.7.0
remix-auth-microsoft: 2.0.1
remix-auth-oauth2: 1.11.0
@azure-storage-blob: 12.26.0

環境変数

.env を作成し、取得した ID とクライアントシークレット、ストレージアカウント名などを記載します。

ENTRA_CLIENT_ID={クライアントID}
ENTRA_CLIENT_SECRET={クライアントシークレット}
ENTRA_REDIRECT_URI=http://localhost:5173/auth/microsoft/callback
ENTRA_TENANT_ID={テナントID}
AZURE_STORAGE_ACCCOUNT={ストレージアカウント名}
AZURE_BLOB_CONTAINER={コンテナー名}

認証・認可

remix-auth-microsoft では MicrosoftStrategy が用意されているので、それを利用した Authenticator を作っています。

ここでは、scope に Azure Storage のアクセストークンの要求を追加しています。

let microsoftStrategy = new MicrosoftStrategy(
  {
    clientId: process.env.ENTRA_CLIENT_ID || "",
    clientSecret: process.env.ENTRA_CLIENT_SECRET || "",
    redirectUri: process.env.ENTRA_REDIRECT_URI || "",
    tenantId: process.env.ENTRA_TENANT_ID || "",
    scope: [
      "openid",
      "email",
      "profile",
      "https://storage.azure.com/user_impersonation",
    ], // optional
    prompt: "login", // optional
  },

取得したアクセストークンはセッション情報に書き出されるので、loader でフロントエンドに渡しています。

export async function loader({ request }: LoaderFunctionArgs) {
  const user = await authenticator.isAuthenticated(request);
  if (!user) {
    throw new Response("Unauthorized", { status: 403 });
  }

  const accessToken = user.accessToken;
  const storageAccount = process.env.AZURE_STORAGE_ACCCOUNT;
  const blobContainer = process.env.AZURE_BLOB_CONTAINER
  return { accessToken, storageAccount, blobContainer };
}

アクセストークンは @azure-storage-blob が提供するクライアントの生成に利用しています。

const blobServiceClient = createBlobServiceClient(
  accessToken,
  storageAccount,
);

const containerClient = blobServiceClient.getContainerClient(blobContainer);
const blockBlobClient = containerClient.getBlockBlobClient(file.name);

try {
  const response = await blockBlobClient.uploadBrowserData(file, {
    blobHTTPHeaders: { blobContentType: file.type },
  });
  console.log("upload succeeded", response.requestId);
  alert("ファイルアップロード完了");
} catch (error) {
  console.error("upload failed", error);
  alert("ファイルアップロード失敗");
}

動作確認

アプリを起動します。

# npm run dev

ブラウザで http://localhost:5173/login にアクセスします。

ログインボタンを押下すると、Microsoft のサインイン画面にリダイレクトされます。

ストレージアカウントで許可したユーザーの認証情報を入力してログインに成功すると、ダッシュボード画面にリダイレクトします。初回ログイン時にのみ、Azure Storage へのアクセス許可を聞かれます。

任意のファイルを選択して Upload ボタンを押下します。ファイルのアップロードが成功するとメッセージが表示されます。

Blob コンテナーを見てみると、ファイルがアップロードされていることが確認できます。

おわりに

普段、Azure や Entra ID を利用する機会が無いので、難易度が高かったです。次は SAS トークンを試してみようと思います。

Lambda Web AdapterでRemixアプリケーションをサーバーレス化してCDKでデプロイする

むらおか — Thu, 11 Jul 2024 09:08:50 +0000

既存の Web フレームワークを Lambda に組み込む方法として Lambda Web Adapter というのがあります。

Lambda Web Adapter でウェブアプリを (ほぼ) そのままサーバーレス化する (2025 年改訂版) - 変化を求めるデベロッパーを応援するウェブマガジン | AWS

VM やコンテナ用に実装されたウェブアプリを、ほとんどそのまま Lambda でも動かせる AWS Lambda Web Adapter について、新しい実装パターンを含めた使い方、仕組みや対応する Web フレームワーク、性能をご紹介しま...

GitHub - awslabs/aws-lambda-web-adapter: Run web applications on AWS Lambda

Run web applications on AWS Lambda. Contribute to awslabs/aws-lambda-web-adapter development by creating an account on G...

その仕組みですが、API Gateway などの統合先から受信したイベントをフレームワークの手前にある Lambda Web Adapter のエントリポイントが HTTP リクエストに変換して、フレームワークに渡してくれる、というイメージで良さそうです。

公式の実装例では、Node.js であれば Next.js と Express.js が対応していますが、HTTP であればどのようなフレームワークも動作するはずです。

今回はこれを使って Remix アプリをサーバーレス化してみました。既に作ったものは GitHub にあげてあります。

GitHub - ShotaroMuraoka/cdk-serverless-remix: Remix アプリケーションを Lambda Web Adapter でサーバーレス化した CDK

Remix アプリケーションを Lambda Web Adapter でサーバーレス化した CDK. Contribute to ShotaroMuraoka/cdk-serverless-remix development by crea...

CDKの準備
Remixアプリケーションの作成
デプロイ
参考資料

CDKの準備

デプロイの方法は CDK にしました。init で新しいプロジェクトを作成しておきます。

$ cdk --version
2.148.0 (build e5740c0)

$ cdk init app --language typescript

今回は HTTP リクエストを受け付けるので、API Gateway と統合します。Stack は以下からお借りしました。

import * as cdk from 'aws-cdk-lib';
import { Construct } from 'constructs';
import * as lambda from 'aws-cdk-lib/aws-lambda';
import { Platform } from 'aws-cdk-lib/aws-ecr-assets';
import * as apigw from 'aws-cdk-lib/aws-apigatewayv2';
import { HttpLambdaIntegration } from 'aws-cdk-lib/aws-apigatewayv2-integrations';

export class MyLambdaStack extends cdk.Stack {
  constructor(scope: Construct, id: string, props?: cdk.StackProps) {
    super(scope, id, props);
    const handler = new lambda.DockerImageFunction(this, 'Handler', {
      code: lambda.DockerImageCode.fromImageAsset('./my-remix', { // Remix アプリケーションのディレクトリ名とする
        platform: Platform.LINUX_AMD64,
      }),
      memorySize: 256,
      timeout: cdk.Duration.seconds(30),
    });

    new apigw.HttpApi(this, 'Api', {
      apiName: 'MyLambdaRemix',
      defaultIntegration: new HttpLambdaIntegration('Integration', handler),
    });
  }
}

Remixアプリケーションの作成

CDK のプロジェクトルートで Remix アプリを作成します。

$ npx create-remix@latest

Remix アプリのルートに Dockerfile を作成します。Remix に対応した Dockerfile を作成したことがなかったので、以下を参考にそれっぽく書いてみました。

hackernews-remix-react/Dockerfile at main · clintonwoo/hackernews-remix-react

Hacker News clone written with universal TypeScript, using React and Remix. - clintonwoo/hackernews-remix-react

FROM node:22-bookworm-slim AS base

FROM base AS deps
RUN mkdir /app
WORKDIR /app

COPY package.json package-lock.json ./
RUN npm ci

FROM base AS builder

RUN mkdir /app
WORKDIR /app
COPY --from=deps /app/node_modules ./node_modules
COPY . .

ENV NODE_ENV production
RUN npm run build

FROM base AS runner

# lambda-web-adapter
COPY --from=public.ecr.aws/awsguru/aws-lambda-adapter:0.5.0 /lambda-adapter /opt/extensions/lambda-adapter

RUN addgroup --system --gid 1001 nodejs
RUN adduser --system --uid 1001 remix

RUN mkdir /app
WORKDIR /app

RUN chown remix:nodejs ./
USER remix

COPY --from=builder --chown=remix:nodejs /app/node_modules ./node_modules
COPY --from=builder --chown=remix:nodejs /app/build ./build
COPY --from=builder --chown=remix:nodejs /app/public ./public
COPY --from=builder --chown=remix:nodejs /app/package.json /app/package-lock.json ./

ENV NODE_ENV production
ENV PORT 3000
EXPOSE 3000

CMD ["npm", "run", "start"]

ここでは Lambda Web Adapter のために難しい記述をする必要はありません。ローカルでも ECS でも動くコンテナイメージであれば、Lambda Web Adapter で動作するようです。

追記が必要なのは Lambda の extension を追加するというところのみです。

COPY --from=public.ecr.aws/awsguru/aws-lambda-adapter:0.5.0 /lambda-adapter /opt/extensions/lambda-adapter

また、デフォルトでは 8080 でポートを Listen しているので、変更する場合は PORT を指定します。

ENV PORT 3000

デプロイ

CDK のルートディレクトリでデプロイを実行します。

$ cdk deploy

管理コンソールから API Gateway の画面を確認すると、作成した API Gateway のエンドポイントが作成されています。

API > MyLambdaRemixの画面を開いている。エンドポイントが有効になっており、リンクが表示されている" class="wp-image-3225" srcset="https://wptech.kiichiro.work/wp-content/uploads/2024/07/24ba3ff1ffab27bfd8a591fc1c9770c3-1024x384.png 1024w, https://wptech.kiichiro.work/wp-content/uploads/2024/07/24ba3ff1ffab27bfd8a591fc1c9770c3-300x112.png 300w, https://wptech.kiichiro.work/wp-content/uploads/2024/07/24ba3ff1ffab27bfd8a591fc1c9770c3-768x288.png 768w, https://wptech.kiichiro.work/wp-content/uploads/2024/07/24ba3ff1ffab27bfd8a591fc1c9770c3-1536x576.png 1536w, https://wptech.kiichiro.work/wp-content/uploads/2024/07/24ba3ff1ffab27bfd8a591fc1c9770c3-2048x768.png 2048w" sizes="(max-width: 1024px) 100vw, 1024px" />

デフォルトのエンドポイントの URL をクリックして Remix アプリの画面が表示されていれば OK です。

参考資料

Dockerを使わない、Remix / Next.js 14 など最新ウェブフレームワークのAWS完全サーバーレス構成と環境構築方法 | ブログ | Serverless Operations

（※ 2025/01/31 追記）この記事の後続編として、React Router v7 と Next.js 15 を利用する構成の詳細な構築手順について、こちらの記事（