認証を設定する - AWS SDK for Go v2
定義認証スキームの解決ワークフローネイティブでサポートされている AuthScheme

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

認証を設定する

AWS SDK for Go には、認証動作サービスを設定する機能が用意されています。ほとんどの場合、デフォルト設定で十分ですが、カスタム認証を設定すると、プレリリースサービス機能の使用など追加の動作が可能になります。

定義

このセクションでは、AWS SDK for Go での認証ロジックの構成要素の概要を示します。

AuthScheme

AuthScheme は、オペレーションリクエストに呼び出し元の ID をアタッチするワークフローを、SDK 内で定義するインターフェイスです。

認証スキームでは、次の構成要素を使用します (詳細は後述)。

  • スキームを識別する一意の ID

  • 署名プロセスで使用される呼び出し元 ID (AWS 認証情報など) を返す ID リゾルバー

  • 署名ロジック。呼び出し元の ID をオペレーションのトランスポートリクエストに実際に挿入します (例: Authorization HTTP ヘッダー)

各サービスクライアントのオプションには AuthSchemes フィールドが含まれており、デフォルトではそのサービスでサポートされている認証スキームのリストが入力されています。

AuthSchemeResolver

各サービスクライアントのオプションには AuthSchemeResolver フィールドが含まれています。このインターフェイスはサービスごとに定義され、各オペレーションで使用可能な認証オプションを決定するために SDK によって呼び出される API です。

重要

認証スキームリゾルバーは、使用する認証スキームを決定するものではありません。代わりに、使用可能なスキームのリスト (「Options」) を返し、最終的なスキームはこちらで説明している固定アルゴリズムによって選択されます。

オプション

ResolverAuthSchemes を呼び出した結果として返される Option は、認証の候補オプションを表します。

Option は 3 つの情報セットで構成されます。

  • 使用可能なスキームを表す ID

  • スキームの ID リゾルバーに渡される不透明なプロパティの集合

  • スキームの署名ロジックに渡される不透明なプロパティの集合

プロパティに関する注意事項

ほとんど (99%) のユースケースでは、呼び出し元は ID 解決および署名のための不透明なプロパティを意識する必要はありません。SDK は各スキームに必要なプロパティを自動的に抽出し、SDK で公開している厳密に型付けされたインターフェイスに渡します。例えば、サービスごとのデフォルトの認証リゾルバーは、SigV4 オプションに「署名名」と「リージョン」の情報を含む署名ロジックプロパティをエンコードします。これらの値は、SigV4 が選択されたときに、クライアントに設定された v4.HTTPSigner 実装に渡されます。

ID

Identity は、SDK の呼び出し元を抽象的に表すものです。

SDK で最も一般的に使用される Identity の型は aws.Credentials です。ほとんどのユースケースでは、呼び出し元は Identity という抽象型を意識せず、具体的な型をそのまま扱うことができます。

注記

下位互換性の維持と API の混乱防止のため、AWS SDK 固有の Identity の型 aws.Credentials は、Identity インターフェイスを直接実装していません。このマッピングは内部で処理されます。

IdentityResolver

IdentityResolver は、Identity を取得するためのインターフェイスです。

IdentityResolver の具体的な実装は、SDK に厳密な型付き形式で含まれており (aws.CredentialsProvider など)、これらのマッピングは SDK が内部で処理します。

呼び出し元は、外部の認証スキームを定義する場合にのみ、IdentityResolver インターフェイスを直接実装する必要があります。

Signer

Signer は、取得された呼び出し元の Identity をリクエストに追加するためのインターフェイスです。

Signer の具体的な実装は、SDK に厳密な型付き形式で含まれており (v4.HTTPSigner など)、これらのマッピングは SDK が内部で処理します。

呼び出し元は、外部の認証スキームを定義する場合にのみ、Signer インターフェイスを直接実装する必要があります。

AuthResolverParameters

各サービスは、それぞれ専用の入力値セットを受け取り、それを AuthResolverParameters としてサービスパッケージ内で定義された解決関数に渡します。

基本的なリゾルバーパラメータは次のとおりです。

名前 type description
Operation string 呼び出されるオペレーションの名前。
Region string クライアントの AWS リージョン。SigV4[A] を使用するサービスでのみ存在します。

独自のリゾルバーを実装する場合でも、これらのパラメータのインスタンスを自分で作成する必要はありません。SDK がリクエストごとにこれらの値を取得し、カスタム実装に渡します。

認証スキームの解決ワークフロー

SDK 経由で AWS サービスのオペレーションを呼び出すと、リクエストのシリアル化後に次の一連のアクションが実行されます。

  1. SDK はクライアントの AuthSchemeResolver.ResolveAuthSchemes() API を呼び出して必要な入力パラメータを取得して、そのオペレーションで使用可能な Options のリストを取得します。

  2. SDK はそのリストを反復処理し、次の条件を満たす最初のスキームを選択します。

    • ID が一致するスキームがクライアント自身の AuthSchemes リストに存在する

    • スキームの ID リゾルバーがクライアントのオプション内に存在する (nil でない) (このチェックはスキームの GetIdentityResolver メソッドを通じて行われ、前述の具体的な ID リゾルバー型へのマッピングは内部で処理されます) (1)

  3. 有効なスキームが選択されると、SDK はその GetIdentityResolver() API を呼び出して呼び出し元の ID を取得します。例えば、組み込みの SigV4 認証スキームは、クライアントの Credentials プロバイダーに内部でマッピングされます。

  4. SDK は ID リゾルバーの GetIdentity() (例: SigV4 の場合は aws.CredentialProvider.Retrieve()) を呼び出します。

  5. SDK はエンドポイントリゾルバーの ResolveEndpoint() を呼び出して、リクエストのエンドポイントを見つけます。このエンドポイントには、署名プロセスに影響する追加のメタデータ (S3 Object Lambda 用の一意の署名名など) が含まれている場合があります。

  6. SDK は認証スキームの Signer() API を呼び出して署名ロジックを取得し、その SignRequest() API を使用して、取得済みの呼び出し元の ID でリクエストに署名します。

(1) SDK がリスト内で匿名オプション (ID smithy.api#noAuth) を検出した場合、対応する ID リゾルバーがないため、自動的にそのオプションが選択されます。

ネイティブでサポートされている AuthScheme

次の認証スキームは AWS SDK for Go でネイティブにサポートされています。

名前 スキーム ID ID リゾルバー Signer メモ
SigV4 aws.auth#sigv4 aws.CredentialsProvider v4.HTTPSigner 現時点でほとんどの AWS サービスオペレーションで使用されるデフォルトです。
SigV4A aws.auth#sigv4a aws.CredentialsProvider 該当なし SigV4A の使用は現時点では限定的であり、署名ロジックの実装は内部的なものです。HTTP リクエストに署名するための汎用 API を公開する新しいオプトインモジュール aws-http-auth については、こちらのお知らせを参照してください。
SigV4Express com.amazonaws.s3#sigv4express s3.ExpressCredentialsProvider v4.HTTPSigner Express One Zone に使用されます。
HTTP Bearer smithy.api#httpBearerAuth smithybearer.TokenProvider smithybearer.Signer codecatalyst によって使用されます。
Anonymous smithy.api#noAuth 該当なし 該当なし 認証なし - ID は不要で、リクエストは署名も認証もされません。

ID の設定

AWS SDK for Go では、認証スキームの ID 構成要素は SDK クライアントの Options で設定されます。SDK は、オペレーションが呼び出されたときに選択したスキームに対して、これらの構成要素の値を自動的に取得して使用します。

注記

下位互換性の理由から、ID リゾルバーが設定されていない場合、SDK は匿名認証スキームの使用を暗黙的に許可します。これは、クライアントの Options にあるすべての ID リゾルバーを nil に設定することで手動でも可能です (sigv4 の ID リゾルバーを aws.AnonymousCredentials{} に設定することもできます)。

Signer の設定

AWS SDK for Go では、認証スキームの署名ロジック構成要素は SDK クライアントの Options で設定されます。SDK は、オペレーションが呼び出されたときに選択したスキームに対して、これらの構成要素の値を自動的に取得して使用します。追加の設定は不要です。

カスタム認証スキーム

カスタム認証スキームを定義して使用するには、呼び出し元で以下を行う必要があります。

  1. AuthScheme 実装を定義する

  2. そのスキームを SDK クライアントの AuthSchemes リストに登録する

  3. SDK クライアントの AuthSchemeResolver を調整して、必要に応じてスキーム ID を含む auth Option を返すようにします。

警告

次のサービスでは、独自またはカスタムの認証動作が実装されています。カスタム認証動作が必要な場合は、まずはデフォルト実装に処理を委譲し、その上で適切にラップしてカスタマイズすることをお勧めします。

サービス メモ
S3 オペレーションの入力に応じて SigV4A および SigV4Express を条件付きで使用。
EventBridge オペレーションの入力に応じて SigV4A を条件付きで使用。
Cognito 一部のオペレーションは匿名専用。
SSO 一部のオペレーションは匿名専用。
STS 一部のオペレーションは匿名専用。