CDKコード品質UP！ナイスな自作コンストラクタを作るための便利インターフェース

Transcript

1. CDKコード品質UP！ ナイスな自作コンストラクタを作るための 便利インターフェース Saturday, July 12, 2025 Haruka Sakihara AWS

   CDK Conference Japan 2025 presented by JAWS-UG

2. 自己紹介 Haruka Sakihara <主な取得資格> • ネットワークスペシャリスト試験(IPA) • AWS Certified 全15資格

   • Google Cloud Certification 7資格 • Microsoft Certified 4資格 <所属> • アクセンチュア株式会社 テクノロジー コンサル ティング本部 (2021年新卒入社) • クラウドの部署にいます <趣味> • Go言語が好きです • フィギュアスケートとサンリオも好きです <その他表彰> • 2023 Japan AWS Jr.Champion • 2024-25 Japan AWS All Certifications Engineer

3. 今回作る題材 以下のアーキテクチャをCDKを使って構築するというケーススタディを考えてみましょう。 VPC Availability Zone 1 Availability Zone 2 Public

   subnet Private subnet Public subnet Private subnet Internet gateway Application Load Balancer Amazon Aurora instance ECS Service Topic Amazon SNS Endpoints LB Security group App Security group DB Security group

4. 課題① MyServiceにMyDatabaseへのアクセスを許可するために、MyDatabaseはMyServiceのsgを知らな いといけない=依存しているという構図です。 VPC Availability Zone 1 Availability Zone 2

   Public subnet Private subnet Public subnet Private subnet Internet gateway Application Load Balancer Amazon Aurora instance ECS Service Topic Amazon SNS Endpoints LB Security group App Security group DB Security group ECSサービスのsgに、TCP3306番を許可しないといけない 依存関係

5. MyDatabaseにサービスのsgを渡す手法がダサい問題 MyServiceからMyDatabaseへのコネクションを疎通させるためにサービス用sgからのTCP3306番 をデータベースsgが受け付けるように実装する必要があり、そのためにMyDatabaseコンストラクタ の引数にサービス用sgを直接指定してしまっています。 MyDatabaseコンストラクタの引数 CDKスタックの定義 vpcとセキュリティグループだと粒度が合って いなくてダサい！ ↓ セキュリティグループをもう少し抽象化したい

6. 課題② MyServiceがSNS Publishをするために、MyServiceはSNSに依存しているという構図です。 VPC Availability Zone 1 Availability Zone 2

   Public subnet Private subnet Public subnet Private subnet Internet gateway Application Load Balancer Amazon Aurora instance ECS Service Topic Amazon SNS Endpoints LB Security group App Security group DB Security group ECSサービスに、SNS Publishを許可しないといけない 依存関係

7. MyServiceの引数設計がきれいじゃない問題 MyServiceが行っているSNS Publish処理をIAM Roleで許可するために、MyServiceコンストラクタ がSNSトピックに依存する形になっています。しかし、今後SNSトピックを利用した処理が廃止さ れたときにコンストラクタのI/Fまで変わってしまうためあまりきれいな設計ではありません。 MyServiceコンストラクタの引数 CDKスタックの定義 Service作成のためにSNSトピックを渡している ↓

   内部でSNSトピックを使わなくなったときに I/F変動余地ありでダサい

8. 課題まとめ 自作コンストラクタで構成を記述する際に、よく発生する「イケてないポイント」は大きく2種類で す。 • 課題その①：自作コンストラクタで定義したリソース間で通信を許可したい • イケてないやり方: セキュリティグループという内部リソースを引数に露出させて通信制御 – 自作コンストラクタで抽象度を高めて可読性を高めた書き方が台無し

   • 課題その②：自作コンストラクタで定義したリソースへのアクセス権限をIAMで与えたい • イケてないやり方: アクセスする側(ECS)にアクセスされる側(SNS)の情報を渡す – ECS内部の処理でSNSを使わなくなったときに容易にI/Fが変わるため脆弱な設計 – アクセスされる側(SNS)がアクセス制御に主体性を持つ方が望ましいので依存性の方向が逆

9. 解決策 これを解決するために、CDKには便利なインターフェースがあります。 • 課題その①：自作コンストラクタで定義したリソース間で通信を許可したい • イケてないやり方: セキュリティグループという内部リソースを引数に露出させて通信制御 – 自作コンストラクタで抽象度を高めて可読性を高めた書き方が台無し •

   →解決策: Iconnectableインターフェースを使おう！ • 課題その②：自作コンストラクタで定義したリソースへのアクセス権限をIAMで与えたい • イケてないやり方: アクセスする側(ECS)にアクセスされる側(SNS)の情報を渡す – ECS内部の処理でSNSを使わなくなったときに容易にI/Fが変わるため脆弱な設計 – アクセスされる側(SNS)がアクセス制御に主体性を持つ方が望ましいので依存性の方向が逆 • →解決策: IGrantableインターフェースを使おう！

10. IConnectableインターフェースの活用(1/2) IConnectableインターフェースは、ネットワークを通してコネクションを張るリソース実体を抽象 化したものです。今回は、MyServiceコンストラクタをIConnectableインターフェースを満たすよ うに実装を修正します。 implements ec2.IConnectableの宣言 セキュリティグループではなくて ec2.Connectionsをプロパティとして外部に公開 ECSサービスのセキュリティグループを ec2.Connectionsでラップしてセット

11. IConnectableインターフェースの活用(2/2) すると、MyDatabaseコンストラクタが依存するのは、MyServiceのセキュリティグループという SpecificなリソースではなくMyServiceそのものであると表現することができ、抽象化の粒度をきれ いに揃えることができました。 データベースへの接続元をセキュリティグループでは なくec2.Iconnectableインターフェースで表現 ec2.Iconnectableインターフェースで 表現された接続元にアクセス許可

12. IGrantableインターフェースの活用(1/2) IGrantableインターフェースは、IAMでアクセス許可を付与できる実体を抽象化したものです。今回 は、MyServiceコンストラクタがIGrantableインターフェースを満たすように実装を修正します。 implements iam.Grantableの宣言 ECSサービスが持つIAMロールを grantPrincipalとして外部に公開 grantPrincipalプロパティ のセット

13. IGrantableインターフェースの活用(2/2) すると、SNSトピックへのPublish許可定義を、アクセス元であるserviceオブジェクト生成時の内部 処理ではなく、アクセス対象のリソースであるSNS自身が管理できるようになり依存関係がきれい になりました。 権限付与のためにserviceが SNSトピックに依存しない SNSサービス自身が、誰からのアクセ スを許可するのか制御できる

14. まとめ IConnectableとIGrantableをつかうと いい感じの依存関係と抽象度とI/Fになります！

15. 最後に宣伝 書籍 『AWSクラウド設計完全ガイド』 日経BPから発売中！ 第3章「実行アーキテクチャの設計」を執筆しました。 よろしければお手に取っていただければと思います m(__)m

16. Thank You ご意見、ご質問ありましたらお気軽にご連絡下さい [email protected] Haruka Sakihara(崎原 晴香)