GCPã‚„Firebaseã«ã¯ãƒ¡ãƒ¼ãƒ«é–¢é€£ã®ç¾è¡Œã‚µãƒ¼ãƒ“スãŒãªãã€å¤–部ã®ãƒ¡ãƒ¼ãƒ«ã‚µãƒ¼ãƒ“スを使用ã™ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ã€‚ ãã®ãŸã‚ã€SendGridã‚„AWS SESãªã©ã‚’組ã¿åˆã‚ã›ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ã€‚
今回ã¯AWS SESを使ã†ã“ã¨ã«ãªã£ãŸã®ã§ã™ãŒã€ãã®ãŸã‚ã«ã‚¢ã‚¯ã‚»ã‚¹ã‚ーやSMTPパスワードを管ç†ã™ã‚‹ã®ã¯ã‚ーã®ç®¡ç†æ–¹æ³•ã‚’考ãˆã‚‹å¿…è¦ãŒã‚ã‚Šã€æ‰‹é–“ã§ã™ã€‚ ã§ã™ã®ã§ã€GCPã®ã‚µãƒ¼ãƒ“スアカウントã§AWSã®IAMãƒãƒ¼ãƒ«ã«èªè¨¼ã—ã¦ãƒ¡ãƒ¼ãƒ«ã‚’é€ä¿¡ã‚ˆã†ã«ã—ã¦ã¿ã¾ã—ãŸã€‚
今回ã®æ§‹æˆ
メールをé€ã‚ŠãŸã„GCPå´ã®ã‚µãƒ¼ãƒ“スã¯Firebase Functionsã§å®Ÿè£…ã•ã‚Œã¦ã„ã¾ã™ã€‚Firebase Functionsã¯App Engineデフォルトサービスアカウントã§å‹•ä½œã—ã¾ã™ã€‚
App Engineデフォルトサービスアカウントã®IDトークンã§ã€AWS STS(Security Token Service)を呼ã³å‡ºã—ã€AWSå´ã®IAMãƒãƒ¼ãƒ«ã«å¯¾å¿œã™ã‚‹ä¸€æ™‚çš„ãªèªè¨¼æƒ…å ±ã‚’å–å¾—ã—ã¾ã™ã€‚
メールé€ä¿¡ã¯nodemailerã®SESトランスãƒãƒ¼ãƒˆã‚’使用ã—ã¾ã™ã®ã§ã€ãƒ—ãƒã‚°ãƒ©ãƒ ã‹ã‚‰ã¯é€šå¸¸ã®SMTPã¨ãã†å¤‰ã‚らãªã„使用感ã§é€ä¿¡ã§ãã¾ã™ã€‚
GCPサービスアカウントã®ç¢ºèªã¨è¨å®š
ã¾ãšã¯ã€GCPã®ã‚µãƒ¼ãƒ“スアカウントã®æƒ…å ±ã‚’ç¢ºèªã—ã¾ã™ã€‚ GCPã®IAMコンソールã§ã€App Engine デフォルトサービスアカウントã®è©³ç´°æƒ…å ±ã‚’é–‹ã「一æ„ã®IDã€ã‚’調ã¹ã¾ã™ã€‚
次ã«ã€ã‚µãƒ¼ãƒ“スアカウントã®è©³ç´°æƒ…å ±ã®ã€Œæ¨©é™ã€ã‚¿ãƒ–ã‚’é–‹ãã€ã€Œã‚µãƒ¼ãƒ“スアカウントトークン作æˆè€…ã€æ¨©é™ã‚’付与ã—ã¦ãŠãã¾ã™ã€‚*1
AWS IAMã®è¨å®š
次ã«ã€ã‚¿ãƒ¼ã‚²ãƒƒãƒˆã¨ãªã‚‹AWSアカウントã§ã€IAMã®ç®¡ç†ç”»é¢ã‚’é–‹ãã€è¨å®šã‚’åŠ ãˆã¦ã„ãã¾ã™ã€‚
メールé€ä¿¡ã®ãƒãƒªã‚·ãƒ¼ã‚’作æˆ
メールé€ä¿¡ã ã‘ã®æ¨©é™ãŒã‚ã‚‹ãƒãƒªã‚·ãƒ¼ã‚’作æˆã—ã¾ã™ã€‚GCPSendEmailãªã©ã¨ã„ã£ãŸãƒãƒªã‚·ãƒ¼åã§ä»¥ä¸‹ã®å†…容ã§ä½œæˆã—ã¾ã—ãŸã€‚
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SendEmail", "Effect": "Allow", "Action": [ "ses:SendEmail", "ses:SendRawEmail" ], "Resource": "arn:aws:ses:*:000000000000:identity/*" } ] }
ãƒãƒ¼ãƒ«ã®è¿½åŠ
次ã«ã€GCPã®ã‚µãƒ¼ãƒ“スアカウントをãƒãƒ¼ãƒ«ã¨ã—ã¦è¿½åŠ ã—ã¾ã™ã€‚
ãƒãƒ¼ãƒ«ã‚’作æˆç”»é¢ã§ã€Œã‚¦ã‚§ãƒ–アイデンティティã€ã‚’指定ã—ã€ã‚¢ã‚¤ãƒ‡ãƒ³ãƒ†ã‚£ãƒ†ã‚£ãƒ—ãƒãƒã‚¤ãƒ€ã§Googleを指定ã€Audienceã«ã‚µãƒ¼ãƒ“スアカウントã®ã€Œä¸€æ„ã®IDã€ã‚’指定ã—ã¦ãŠãã¾ã™ã€‚
許å¯ã‚’è¿½åŠ ã§ã€å…ˆã»ã©ä½œã£ã¦ãŠã„ãŸãƒãƒªã‚·ãƒ¼(GCPSendEmail)を指定ã—ã¾ã™ã€‚
最後ã®ãƒãƒ¼ãƒ«ã®è©³ç´°ã§ã¯ã€GCPSA_(サービスアカウントアドレス) ã¨ã—ã¦ãŠãã¨ã‚ˆã„ã§ã—ょã†ã€‚ã“ã®åå‰ã¯STSã®APIを呼ã³å‡ºã™ã¨ãã«å¿…è¦ã«ãªã‚Šã¾ã™ã€‚
AWSã®èªè¨¼æƒ…å ±ã‚’å¾—ã‚‹ãƒ—ãƒã‚°ãƒ©ãƒ を記述ã™ã‚‹
ãã‚Œã§ã¯ã€Firebase Function ã§ãƒ—ãƒã‚°ãƒ©ãƒ を書ã„ã¦ã„ãã¾ã—ょã†ã€‚
å¿…è¦ã¨ãªã‚‹æƒ…å ±
ã§ãã‚‹ã ã‘実行環境ã‹ã‚‰è¨å®šå€¤ã‚’å–ã£ã¦ã€å®šæ•°ã‚’定義ã›ãšã«æ¸ˆã‚€ã‚ˆã†ã«ã—よã†ã¨æ€ã„ã¾ã™ãŒã€å®šæ•°åŒ–ã—ã¦ãŠã‹ãªã‘ã‚Œã°ãªã‚‰ãªã„æƒ…å ±ã¯ä»¥ä¸‹ã®é€šã‚Šã§ã™ã€‚
- AWSã®ã‚¢ã‚«ã‚¦ãƒ³ãƒˆID
- GCPã®ã‚µãƒ¼ãƒ“スアカウントå (エミュレーター動作時用)
Cloud Functionsã®ç’°å¢ƒå¤‰æ•°ã‚’使ã£ã¦æ³¨å…¥ã—ã¦ã‚‚良ã„ã§ã—ょã†ã€‚
サービスアカウントメールアドレスã®å–å¾—
gcp-metadata ライブラリを使ã†ã“ã¨ã§ã€å®Ÿè¡Œä¸ã®ã‚µãƒ¼ãƒ“スアカウントメールアドレスをå–å¾—ã§ãã¾ã™ã€‚ ãƒãƒ¼ã‚«ãƒ«ã§å®Ÿè¡Œã—ã¦ã„ã‚‹ã¨ãã¯å–å¾—ã§ããªã„ãŸã‚ã€process.env.FUNCTIONS_EMULATOR ㌠true ã®å ´åˆã¯å®šæ•°ã‹ã‚‰ã‚µãƒ¼ãƒ“スアカウントメールアドレスを得るよã†ã«ã—ã¾ã™ã€‚
import * as gcpMetadata from "gcp-metadata"; const isEmulator = Boolean(process.env.FUNCTIONS_EMULATOR); const emulatorServiceAccount = process.env.EMULATOR_SA; const getServiceAccountEmailAsync = async (): Promise<string> => { if (isEmulator) { return emulatorServiceAccount; } else { return await gcpMetadata.instance( "service-accounts/default/email", ); } };
サービスアカウントã®IDトークンå–å¾—
サービスアカウントã®IDトークンをå–å¾—ã—ã¾ã™ã€‚
gcp-metadataライブラリを使ã£ã¦å–å¾—ã™ã‚‹ã“ã¨ã‚‚ã§ãã¾ã™ãŒã€ãƒãƒ¼ã‚«ãƒ«å‹•ä½œã‚’考慮ã—ã¦GCPã®IAM Credential APIを使用ã—ã¦å–å¾—ã—ã¾ã™ã€‚(GCPã®APIã¨ã‚µãƒ¼ãƒ“スコンソールã§ã€IAM Credentials APIã®æœ‰åŠ¹åŒ–ãŒå¿…è¦ã§ã™)
import { IAMCredentialsClient } from "@google-cloud/iam-credentials"; const audience = "https://www.googleapis.com/"; const getServiceAccountIdTokenAsync = async ( sa: string, ): Promise<string | undefined> => { const client = new IAMCredentialsClient(); const [response] = await client.generateIdToken({ name: `projects/-/serviceAccounts/${sa}`, audience, }); if (!response.token) { return undefined; } return response.token; };
サービスアカウントã®IDトークンã§AWSã®èªè¨¼æƒ…å ±ã‚’å–å¾—ã™ã‚‹
サービスアカウントã®IDトークンを使ã£ã¦AWSã®STS APIを呼ã³å‡ºã—ã€AWSã®èªè¨¼æƒ…å ±ã‚’å–å¾—ã—ã¾ã™ã€‚
import { AssumeRoleWithWebIdentityCommand, STSClient, } from "@aws-sdk/client-sts"; const awsAccountId = "000000000000"; type AWSCredentials = { accessKeyId: string; secretAccessKey: string; sessionToken: string; expiration?: Date; }; const getAWSCredentialsByWebIdentityAsync = async ( sa: string, gcpToken: string ): Promise<AWSCredential | undefined> => { const roleArn = `arn:aws:iam::${awsAccountId}:role/GCPSA_${sa}`; const sts = new STSClient({}); const result = await sts.send( new AssumeRoleWithWebIdentityCommand({ RoleArn: roleArn, WebIdentityToken: gcpToken, RoleSessionName: new Date().getTime().toString(), }), ); if (!result.Credentials) { return undefined; } const { AccessKeyId, SecretAccessKey, SessionToken, Expiration } = result.Credentials; if (!AccessKeyId || !SecretAccessKey || !SessionToken) { return undefined; } return { accessKeyId: AccessKeyId, secretAccessKey: SecretAccessKey, sessionToken: SessionToken, expiration: Expiration, }; };
å–å¾—ã—ãŸAWSèªè¨¼æƒ…å ±ã‚’ä½¿ã£ã¦ãƒ¡ãƒ¼ãƒ«ã‚’é€ä¿¡ã™ã‚‹
ãã‚Œã§ã¯ã€å–å¾—ã—ãŸèªè¨¼æƒ…å ±ã§ãƒ¡ãƒ¼ãƒ«ã‚’é€ä¿¡ã—ã¦ã¿ã¾ã—ょã†ã€‚
import * as aws from "@aws-sdk/client-ses"; import { SES } from "@aws-sdk/client-ses"; import * as nodemailer from "nodemailer"; const sendMailAsync = async (): Promiose<void> => { const sa = await getServiceAccountEmailAsync(); const token = await getServiceAccountIdTokenAsync(sa); if (!token) { return; } const awsCredentials = await getAWSCredentialsByWebIdentityAsync(sa); if (!awsCredentials) { return; } const ses = new SES({ credentials }); const transporter = nodemailer.createTransport({ SES: { ses, aws }, }); await transporter.sendMail({ from: "[email protected]", to: "[email protected]", subject: "test mail", text: "this is a test mail", }); };
