AWS Amplify Gen 2 の標準サインアップ機能にメールドメイン制限を加える

AWS Amplify Gen 2 の標準サインアップ機能にメールドメイン制限を加える

Clock Icon2024.08.17

いわさです。

社内向けのある企画があり、その中のタスクのひとつとして Web アプリケーションを作成する必要がありました。
チームで「どうやって作ろうか?」という話をしていた時に「Amplify とかでサクッと出来るのでは」と言ってしまい、私が担当することになりました。
今思えば「知らんけど」を付けるのを忘れていたなと思います。

というわけで、本当にサクッと作れるのかはわからないですが、せっかくなのでちょっと前に GA した Amplify Gen 2 を使って作り始めてみることにしました。

まずはお決まりですが、ドキュメントに従ってテンプレートからデフォルトアプリケーションの起動までを行いました。
そして、認証が必要なアプリケーションになるので認証機能を追加しました。
さらに、とりあえず社内向けということでクラスメソッドのメールアドレスでのみサインアップ出来るようにカスタマイズまでしました。

テンプレートから作成

公式ドキュメントの Quickstart に従って従って新規アプリケーションを作成して起動するところまでは非常に簡単です。
以下の公式ドキュメントを参考にテンプレートリポジトリをクローンし、Amplify コンソールから Git 連携を行ってそのままデプロイします。

https://docs.amplify.aws/react/start/quickstart/

DBF96021-7083-457E-94C6-E5D74CB39263_1_105_c.jpeg

これだけで、まずは最低限の TODO アプリみたいなのものをとりあえず動かすことができます。

5EBACD75-9C12-43A5-AB3D-26AC26E6121A.png

認証機能を追加

ここから色々と変更しながら学んでいけば良いかなという感じですが、まずは認証機能を追加することにしました。
Amplify はデフォルトで認証コンポーネントが提供されており、Cognito ユーザープールが使用されています。

https://docs.amplify.aws/react/build-a-backend/auth/set-up-auth/

Amplify コンソールの認証セットアップ手順に従って認証機能の追加を行います。

88EDCEAA-D893-46CC-B9F7-55D9BA4E1F1F_1_105_c.jpeg

src/App.tsx
import { Authenticator } from '@aws-amplify/ui-react'
import '@aws-amplify/ui-react/styles.css'
import { useEffect, useState } from "react";
import type { Schema } from "../amplify/data/resource";
import { generateClient } from "aws-amplify/data";

const client = generateClient<Schema>();

function App() {
  const [todos, setTodos] = useState<Array<Schema["Todo"]["type"]>>([]);

  useEffect(() => {
    client.models.Todo.observeQuery().subscribe({
      next: (data) => setTodos([...data.items]),
    });
  }, []);

  function createTodo() {
    client.models.Todo.create({ content: window.prompt("Todo content") });
  }

  return (
    <Authenticator>
      {({ signOut }) => (
        <main>
          <h1>My todos</h1>
          <button onClick={createTodo}>+ new</button>
          <ul>
            {todos.map((todo) => (
              <li key={todo.id}>{todo.content}</li>
            ))}
          </ul>
          <div>
            🥳 App successfully hosted. Try creating a new todo.
            <br />
            <a href="https://docs.amplify.aws/react/start/quickstart/#make-frontend-updates">
              Review next step of this tutorial.
            </a>
          </div>
          <button onClick={signOut}>Sign out</button>
        </main>
      )}
    </Authenticator>
  );
}

export default App;

<main>タグを<Authenticator>タグで囲います。
まずはローカル環境で実行してみましょう。テンプレートに認証コンポーネントは最初から含まれていたのでバックエンドの再構築は不要でフロントエンドの変更のみで追加が可能でした。

% npm run dev

> [email protected] dev
> vite

Re-optimizing dependencies because lockfile has changed

  VITE v5.3.4  ready in 387 ms

  ➜  Local:   http://localhost:5173/
  ➜  Network: use --host to expose
  ➜  press h + enter to show help

アクセスしてみると認証画面が表示されるようになりました。

EECA527C-1A11-497F-8F0C-E3746B2F77AE_1_105_c.jpeg

ユーザーアカウントをまだ用意できていないので「Create Account」からサインアップ機能を使ってみます。
メールアドレスとパスワードを入力すると、認証コードがメールで送信されました。

2DF8EE35-1C3A-4E92-9997-93ABA10CA3F5.png

コードを入力するとサインアップが完了し、そのままサインインされます。
なるほどね。

E8D75A25-B62A-4884-993A-9249C28EF225.png

認証機能については Amplify コンソールと統合されておりこちらからユーザーの管理が可能です。

DDC13733-4E10-401C-9E97-1288526D10EA_1_105_c.jpeg

一方で裏側の仕組みは Cognito ユーザープールなので、Cognito リソースに直接アクセスすることも可能です。
自動でユーザープールが作成されており、先程登録したユーザーが追加されていました。
直接変更して良いのかはまだ謎ですが、Cognito で実現出来ることであれば何でもできそうな気がしてきました。

2C255750-F41F-406A-A3D3-4AE73CA21F0B_1_105_c.jpeg

一部のメールドメインのみサインアップを許可してみる

で、Cognito ユーザープールということは Lambda トリガーを使うことで、認証フローであれやこれやと色々出来るわけですよね。
今回だとチームの概念を取り入れたかったので、グループやカスタムクレームを設定したりなどやりたいことは色々あるのですが、そもそも Amplify Gen 2 において Lambda トリガー設定方法を試してみることにしました。

いくつか認証カスタマイズの例が載っており、このメールドメインでのサインアップ制限は使っておきたいかつ、導入しやすいなと思ったので早速やってみることにしました。

https://docs.amplify.aws/react/build-a-backend/functions/examples/email-domain-filtering/

基本的に上記ドキュメントのとおりで、以下のALLOW_DOMAINのみ変更しています。

amplify/auth/pre-sign-up/resource.ts
import { defineFunction } from '@aws-amplify/backend';

export const preSignUp = defineFunction({
  name: 'pre-sign-up',
  // optionally define an environment variable for your filter
  environment: {
    ALLOW_DOMAIN: 'classmethod.jp'
  }
});

関数なども作成しておりバックエンドの更新が必要なので、バックエンドを更新しましょう。
ただ、本番環境にいきなりデプロイはしないのでサンドボックス環境にデプロイします。なるほど。

CloudFormation スタックを確認したところ Lambda 関数はデプロイされているようだったので良さそうです。

BC0B3B69-62C0-443C-A758-398B40305D85_1_105_c.jpeg

そしてローカル環境にアクセスしたところ、Cognito のサインアップ前トリガーが動作して許可されたドメイン以外ではサインアップができなくなりました。もちろんclassmethod.jpドメインであればサインアップはできます。良いですね。

118F4228-6A00-42EE-AFE5-121326484B91.png

動作確認して良さそうだったので本番環境にもデプロイしてみます。
GitHub リポジトリと統合されているのでリモートブランチにプッシュしてやるだけです。
GitHub Action が設定されているわけではないのですが、Amplify 側で勝手に検出してくれます。ビルドとデプロイが開始されました。

10EFAE0F-B89D-4050-B44E-A82E949774D4.png

デプロイ完了後に運用 URL にアクセスしたところ、こちらでもサインアップの制限を確認することができました。良さそうです。

5D2B806A-67CA-4449-8FEB-8A2B0B9D1588.png

さいごに

本日は AWS Amplify Gen 2 の標準サインアップ機能にメールドメイン制限を加えるところまでやってみました。

Amplify に慣れている方にとっては、非常に基本的なところだと思いますが、ひとつづつ「なるほど」と思いながら進めていきました。

そうですねぇ。認証が追加出来たので、次はとあるバックエンド API を定期的にポーリングするような動きを実装してみたいと思います。ポーリングじゃなくて双方向でも良いんですがそれは次回考えます。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.