はじめに

「チャットボットの会話ログをAPIで受け取り、AWSに蓄積したい」——そんな要件を実現する構成が API Gateway + Lambda + CloudWatch Logs の組み合わせです。

この記事では、AWSコンソールのみを使って、チャットボットの会話ログを記録・取得するREST APIをゼロから構築するハンズオンを紹介します。

クライアント
  ↓ POST /logs（会話ログを送信）
API Gateway（REST API）
  ↓ Lambda プロキシ統合
Lambda（ChatLogFunction / Python 3.12）
  ↓ boto3 logs.put_log_events()
CloudWatch Log Group（/chatbot/chatbot-logs）
  ↓ Metric Filter（level = "error" のログを検出）
CloudWatch カスタムメトリクス（ChatErrorCount）

このハンズオンで体験できること：

• API Gateway REST API のリソース・メソッド作成と Lambda プロキシ統合
• CloudWatch Logs カスタムロググループへのログ書き込み（put_log_events）
• Metric Filter によるエラーログの自動メトリクス変換
• CloudWatch Logs Insights でのログクエリ実行

この記事は SAM版ハンズオン の比較記事です。
コンソール操作でAPI Gateway・Lambda・CloudWatch Logsの連携を視覚的に学び、SAM と何が違うのかを比較したい方向けです。

Amazon検索[本 AWS 開発]

キーワード解説

使用するAWSサービス

全体の作業順序

① CloudWatch Log Group を作成する
      ↓
② CloudWatch Metric Filter を作成する（error ログ → メトリクス）
      ↓
③ Lambda 関数を作成する（コード・環境変数・タイムアウト設定）
      ↓
④ Lambda の実行ロールに権限を追加する
  （CloudWatch Logs: 書き込み・読み取り / CloudWatch: PutMetricData）
      ↓
⑤ API Gateway REST API を作成する（POST /logs, GET /logs）
      ↓
⑥ 動作テスト（curl でログ送信 → コンソールで確認）
      ↓
⑦ リソースの削除

Log Group を先に作る理由：
Metric Filter の作成にはロググループが必要なため、最初に作成します。

① CloudWatch Log Group を作成する

AWSコンソール → CloudWatch → ロググループ → 「ロググループの作成」

「作成」をクリック。

控えておく情報:

• ロググループ名: /chatbot/chatbot-logs

② CloudWatch Metric Filter を作成する

エラーログを自動的にカスタムメトリクスに変換するフィルターを設定します。

CloudWatch → ロググループ → /chatbot/chatbot-logs → 「メトリクスフィルター」タブ → 「メトリクスフィルターを作成」

フィルターパターンの設定

「パターンのテスト」でテストデータを入力して確認できます（任意）。「次へ」をクリック。

メトリクスの設定

「次へ」→「メトリクスフィルターを作成」。

Metric Filter の仕組み:
CloudWatch Logs に届いたログが { $.level = "error" } にマッチするたびに、
ChatBot/chatbot-logs 名前空間の ChatErrorCount に 1 が加算されます。
ログに {"level": "error", ...} という JSON が含まれていればマッチします。

③ Lambda 関数を作成する

AWSコンソール → Lambda → 「関数の作成」

「関数の作成」をクリック。

タイムアウトの設定

「設定」タブ → 「一般設定」→「編集」

「保存」をクリック。

環境変数の設定

「設定」タブ → 「環境変数」→「編集」→「環境変数を追加」

「保存」をクリック。

コードの入力

「コード」タブ → lambda_function.py を開いて既存の内容を全て置き換えます。

import json
import os
import time
import uuid

import boto3
from botocore.exceptions import ClientError

logs_client = boto3.client("logs")
cloudwatch = boto3.client("cloudwatch")

LOG_GROUP_NAME = os.environ["LOG_GROUP_NAME"]
METRIC_NAMESPACE = "ChatBot/" + LOG_GROUP_NAME.split("/")[-1]  # "ChatBot/chatbot-logs"


def lambda_handler(event, context):
    http_method = event.get("httpMethod", "")
    resource = event.get("resource", "/")

    if http_method == "POST" and resource == "/logs":
        return post_log(event)
    elif http_method == "GET" and resource == "/logs":
        return get_logs(event)
    else:
        return _response(404, {"error": "Not Found"})


def post_log(event):
    try:
        body = json.loads(event.get("body") or "{}")
    except json.JSONDecodeError:
        return _response(400, {"error": "Invalid JSON"})

    session_id = body.get("session_id") or str(uuid.uuid4())
    user_id = body.get("user_id", "anonymous")
    message = body.get("message", "")
    response_text = body.get("response", "")
    level = body.get("level", "info")

    log_entry = {
        "session_id": session_id,
        "user_id": user_id,
        "message": message,
        "response": response_text,
        "level": level,
    }

    log_stream_name = f"session/{session_id}"
    _ensure_log_stream(log_stream_name)  # ストリームを作成（既存なら無視）
    logs_client.put_log_events(
        logGroupName=LOG_GROUP_NAME,
        logStreamName=log_stream_name,
        logEvents=[
            {
                "timestamp": int(time.time() * 1000),  # ミリ秒単位の Unix 時間
                "message": json.dumps(log_entry, ensure_ascii=False),
            }
        ],
    )

    cloudwatch.put_metric_data(
        Namespace=METRIC_NAMESPACE,
        MetricData=[
            {
                "MetricName": "MessageCount",
                "Dimensions": [{"Name": "Level", "Value": level}],
                "Value": 1,
                "Unit": "Count",
            }
        ],
    )

    return _response(200, {
        "session_id": session_id,
        "log_stream": log_stream_name,
        "message": "ログを記録した",
    })


def get_logs(event):
    params = event.get("queryStringParameters") or {}
    session_id = params.get("session_id")
    limit = min(int(params.get("limit", "20")), 100)

    if not session_id:
        return _response(400, {"error": "session_id クエリパラメーターは必須"})

    log_stream_name = f"session/{session_id}"

    try:
        resp = logs_client.get_log_events(
            logGroupName=LOG_GROUP_NAME,
            logStreamName=log_stream_name,
            limit=limit,
            startFromHead=False,  # 最新のログから取得
        )
        events = []
        for e in resp["events"]:
            try:
                msg = json.loads(e["message"])
            except json.JSONDecodeError:
                msg = e["message"]
            events.append({"timestamp_ms": e["timestamp"], "log": msg})
    except ClientError as e:
        if e.response["Error"]["Code"] == "ResourceNotFoundException":
            events = []  # ログストリームが存在しない場合は空リストを返す
        else:
            raise

    return _response(200, {
        "session_id": session_id,
        "log_count": len(events),
        "logs": events,
    })


def _ensure_log_stream(log_stream_name: str) -> None:
    try:
        logs_client.create_log_stream(
            logGroupName=LOG_GROUP_NAME,
            logStreamName=log_stream_name,
        )
    except ClientError as e:
        if e.response["Error"]["Code"] != "ResourceAlreadyExistsException":
            raise  # 既存ストリームは無視、それ以外のエラーは再送出


def _response(status_code: int, body: dict) -> dict:
    return {
        "statusCode": status_code,
        "headers": {"Content-Type": "application/json"},
        "body": json.dumps(body, ensure_ascii=False),
    }

「Deploy」ボタンをクリックしてコードを保存します。

④ Lambda の実行ロールに権限を追加する

デフォルトの実行ロールは CloudWatch Logs への書き込み（Lambdaの実行ログ出力）のみです。
今回はカスタムロググループへの書き込み・読み取りと、カスタムメトリクスへの書き込み権限を追加します。

Lambda → ChatLogFunction → 「設定」タブ → 「アクセス権限」→ 実行ロール名のリンクをクリック

（例: ChatLogFunction-role-XXXX）→ IAM コンソールのロール画面が開きます。

CloudWatch Logs と CloudWatch の権限をまとめて追加する

「許可を追加」→「インラインポリシーを作成」→「JSON」タブを選択して以下を入力します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:GetLogEvents",
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "arn:aws:logs:ap-northeast-1:YOUR_ACCOUNT_ID:log-group:/chatbot/chatbot-logs",
        "arn:aws:logs:ap-northeast-1:YOUR_ACCOUNT_ID:log-group:/chatbot/chatbot-logs:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "cloudwatch:PutMetricData",
      "Resource": "*"
    }
  ]
}

YOUR_ACCOUNT_ID を自分の AWS アカウント ID（12桁）に置き換えてください。
アカウント ID は aws sts get-caller-identity で確認できます。

「次へ」→ ポリシー名: ChatLogPolicy → 「ポリシーを作成」。

なぜ 2 種類の権限が必要か:

• logs:PutLogEvents — put_log_events() でカスタムロググループにログを書き込む
• logs:GetLogEvents — get_log_events() でログを読み取る
• cloudwatch:PutMetricData — put_metric_data() でカスタムメトリクスを記録する

⑤ API Gateway REST API を作成する

5-1. API の作成

AWSコンソール → API Gateway → 「APIを作成」→ 「REST API」→「構築」

「API を作成」をクリック。

5-2. /logs リソースを作成する

「リソース」→「リソースを作成」

「リソースを作成」をクリック。

5-3. POST メソッドを作成する（ログ書き込み）

/logs リソースを選択した状態で「メソッドを作成」。

「メソッドを作成」をクリック。

5-4. GET メソッドを作成する（ログ取得）

同様に GET メソッドを追加します。設定は POST と同じ（Lambda 関数: ChatLogFunction）。

5-5. API をデプロイする

「API をデプロイ」→

「デプロイ」をクリック。

デプロイ後に表示される URL を控えておきます:

https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod

⑥ 動作テスト

事前準備: API URL を変数に設定する

set API_URL=https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod

XXXXXXXXXX を ⑤ でデプロイ後に表示された URL の値に置き換えてください。

テスト 1: ログを記録する（POST /logs）

curl -X POST "%API_URL%/logs" ^
  -H "Content-Type: application/json" ^
  -d "{\"session_id\": \"session-001\", \"user_id\": \"user001\", \"message\": \"今日の天気は？\", \"response\": \"東京は晴れです\", \"level\": \"info\"}"

期待するレスポンス:

{
  "session_id": "session-001",
  "log_stream": "session/session-001",
  "message": "ログを記録した"
}

テスト 2: エラーログを記録する（Metric Filter のテスト）

curl -X POST "%API_URL%/logs" ^
  -H "Content-Type: application/json" ^
  -d "{\"session_id\": \"session-001\", \"user_id\": \"user001\", \"message\": \"注文履歴を見せて\", \"response\": \"エラーが発生しました\", \"level\": \"error\"}"

このリクエスト後、CloudWatch メトリクス ChatBot/chatbot-logs > ChatErrorCount が +1 されます。
反映まで数分かかることがあります。

テスト 3: ログを取得する（GET /logs）

curl "%API_URL%/logs?session_id=session-001"

期待するレスポンス:

{
  "session_id": "session-001",
  "log_count": 2,
  "logs": [
    {
      "timestamp_ms": 1700000000000,
      "log": {
        "session_id": "session-001",
        "user_id": "user001",
        "message": "今日の天気は？",
        "response": "東京は晴れです",
        "level": "info"
      }
    }
  ]
}

CloudWatch でログを確認する

CloudWatch → ロググループ → /chatbot/chatbot-logs → ログストリーム

• session/session-001 ストリームをクリック
• 送信した会話ログが JSON 形式で記録されていることを確認します

CloudWatch Logs Insights でクエリを実行する（任意）

CloudWatch → Logs Insights

ロググループに /chatbot/chatbot-logs を選択し、時間範囲を「直近1時間」など幅のある範囲に設定してから以下のクエリを実行します。

注意: 開始時刻と終了時刻が同じだとエラー Query's end date and time is either before the log groups creation time... が出ます。カレンダーアイコンで時間幅を確保してください。

fields @timestamp, session_id, user_id, level, message
| filter level = "error"
| sort @timestamp desc
| limit 20

エラーログだけを抽出して確認できます。

カスタムメトリクスを確認する（任意）

CloudWatch → メトリクス → すべてのメトリクス → カスタム名前空間 → ChatBot/chatbot-logs

⑦ リソースの削除

課金を止めるために、ハンズオン完了後は必ず削除してください。

1. API Gateway を削除する

API Gateway → API → ChatLogAPI → 「削除」→ API 名を入力 → 「削除」

2. Lambda 関数を削除する

Lambda → 関数 → ChatLogFunction → 「アクション」→「削除」

3. CloudWatch Log Group を削除する

CloudWatch → ロググループ → /chatbot/chatbot-logs → 「アクション」→「ロググループを削除」

Metric Filter はロググループを削除すると自動的に削除されます。

4. IAM ロールを削除する（任意）

IAM → ロール → ChatLogFunction-role-XXXX を削除

5. CloudWatch Lambda ロググループを削除する（任意）

CloudWatch → ロগগループ → /aws/lambda/ChatLogFunction → 削除

SAM との対比

コンソール版のつまずきポイント:
IAM のインラインポリシーに YOUR_ACCOUNT_ID を自分のアカウントIDに書き換えるのを忘れると AccessDeniedException が発生します。
SAM版では !GetAtt ChatLogGroup.Arn で自動解決されるため、この手作業が不要です。

トラブルシューティング

まとめ

今回のハンズオンで体験できたこと：

コンソール版で実感できたポイント

• API Gateway のリソース・メソッド・デプロイという3段階の設定が視覚的に理解できる
• IAM ポリシーのリソース ARN を手動で記述することで、権限スコープの意味が身につく
• Metric Filter の仕組みを GUI で設定することで、JSON フィルター構文の動作が理解できる

コンソール版と SAM 版を比較してみる

コンソールで API Gateway + Lambda + CloudWatch Logs の連携を理解したら、SAM で同じ構成をコードで定義することで「SAM が何を自動化しているか」が明確になります。IAM ポリシーの ARN 解決や Log Group の保持期間設定など、コンソールでの手動操作がコードに対応しています。

関連記事

Amazon検索[本 AWS 開発]

The post AWSコンソールでチャットボットログAPIを構築する手順【API Gateway + Lambda + CloudWatch Logs ハンズオン / SAM版との比較付き】 first appeared on CayTech Lab.

はじめに

「チャットボットのログ収集基盤をコードで管理して、同じ環境を何度でも再現したい」という要件に、AWS SAM（Serverless Application Model） は最適な選択肢のひとつです。

この記事では、AWS SAM を使って、API Gateway + Lambda + CloudWatch Logs によるチャットボットログAPIをゼロから構築するハンズオンを紹介します。

クライアント
  ↓ POST /logs（会話ログを送信）
API Gateway（REST API / Prod ステージ）
  ↓ Lambda プロキシ統合
Lambda（ChatLogFunction / Python 3.12）
  ↓ boto3 logs.put_log_events()           boto3 cloudwatch.put_metric_data()
CloudWatch Log Group                      CloudWatch カスタムメトリクス
（/chatbot/STACK_NAME）                   （ChatBot/STACK_NAME）
  ↓ Metric Filter（$.level = "error"）         ↑ 自動変換
CloudWatch ChatErrorCount メトリクス ─────────┘

このハンズオンで体験できること：

• AWS::Logs::LogGroup / AWS::Logs::MetricFilter の SAM 定義
• SAM 組み込みポリシーがない場合の Statement 直接記述による権限付与
• !Sub / !GetAtt / !Ref を使ったリソース間参照
• sam build + sam deploy の 2コマンドで全リソースをデプロイ

このハンズオンの特徴：

• API Gateway + Lambda × 1 + CloudWatch Log Group + Metric Filter + IAM ロールを template.yaml 1ファイルで管理
• sam delete で全リソースを一括削除（コンソール版では API Gateway / Lambda / Log Group / IAM を個別に削除）

Amazon検索[本 AWS 開発]

SAM vs コンソール：どれだけ違うか

キーワード解説

前提条件

AWS認証確認:

aws sts get-caller-identity

アカウントIDが表示されれば認証設定済みです。

使用するAWSサービス

Step 1: プロジェクトフォルダを開く

cd C:\my-aws\aws-learning-projects\chatbot-log-api

フォルダ構造

chatbot-log-api/
├── template.yaml       # SAMテンプレート（API Gateway + Lambda + CloudWatch）
├── samconfig.toml      # デプロイ設定（gitignore 対象・毎回手動作成が必要）
├── docs/
│   ├── 1_console.md    # AWSコンソール版手順
│   └── 2_sam.md        # SAM版手順
└── src/
    └── app.py          # Lambda 関数（POST /logs, GET /logs）

Step 2: SAMテンプレートの確認（template.yaml）

template.yaml は全 AWSリソースの設計図です。コンソール版との違いに注目しながらポイントを確認します。

Log Group と Metric Filter の定義

Resources:
  ChatLogGroup:
    Type: AWS::Logs::LogGroup
    Properties:
      LogGroupName: !Sub "/chatbot/${AWS::StackName}"
      RetentionInDays: 7

  # Metric Filter: error ログを ChatErrorCount メトリクスに自動変換
  ErrorMetricFilter:
    Type: AWS::Logs::MetricFilter
    Properties:
      LogGroupName: !Ref ChatLogGroup
      FilterPattern: '{ $.level = "error" }'
      MetricTransformations:
        - MetricName: ChatErrorCount
          MetricNamespace: !Sub "ChatBot/${AWS::StackName}"
          MetricValue: "1"
          DefaultValue: 0

AWS::Logs::LogGroup を明示定義する理由:
未定義のまま Lambda を実行すると、Lambda が自動でロググループを作成しますが保持期間が無期限になります。
SAM で明示的に定義することで RetentionInDays: 7 が確実に適用されます。

Lambda 関数の定義（IAMポリシーとAPIトリガー）

  ChatLogFunction:
    Type: AWS::Serverless::Function
    Properties:
      CodeUri: src/
      Handler: app.lambda_handler
      Runtime: python3.12
      Timeout: 10
      Environment:
        Variables:
          LOG_GROUP_NAME: !Ref ChatLogGroup  # "/chatbot/スタック名"
      Policies:
        - Statement:
            # カスタムロググループへの書き込み・読み取り（スコープを特定グループに限定）
            - Action: [logs:CreateLogStream, logs:PutLogEvents, logs:GetLogEvents, logs:DescribeLogStreams]
              Effect: Allow
              Resource: [!GetAtt ChatLogGroup.Arn, !Sub "${ChatLogGroup.Arn}:*"]
            # カスタムメトリクスの書き込み
            - Action: cloudwatch:PutMetricData
              Effect: Allow
              Resource: "*"
      Events:
        PostLog:
          Type: Api
          Properties:
            Path: /logs
            Method: post
        GetLogs:
          Type: Api
          Properties:
            Path: /logs
            Method: get

template.yaml のポイント:

Step 3: Lambda コードの確認（src/app.py）

コードはすでに作成済みです。各関数の役割とポイントを確認しておきます。

LOG_GROUP_NAME = os.environ["LOG_GROUP_NAME"]           # "/chatbot/スタック名"
METRIC_NAMESPACE = "ChatBot/" + LOG_GROUP_NAME.split("/")[-1]  # "ChatBot/スタック名"

def post_log(event):
    # リクエストボディを解析
    body = json.loads(event.get("body") or "{}")
    session_id = body.get("session_id") or str(uuid.uuid4())

    # セッション単位のログストリームに書き込む
    log_stream_name = f"session/{session_id}"
    _ensure_log_stream(log_stream_name)       # ストリームを作成（既存なら無視）
    logs_client.put_log_events(...)           # ログを書き込む

    # カスタムメトリクスを記録
    cloudwatch.put_metric_data(
        Namespace=METRIC_NAMESPACE,
        MetricData=[{"MetricName": "MessageCount", "Dimensions": [...], "Value": 1}],
    )

def get_logs(event):
    # session_id でログストリームを指定して取得
    logs_client.get_log_events(logGroupName=..., logStreamName=f"session/{session_id}")

app.py のポイント:

• _ensure_log_stream(): create_log_stream() は既存ストリームに対して ResourceAlreadyExistsException を返します。botocore.exceptions.ClientError でキャッチして無視することで冪等性を確保します
• int(time.time() * 1000): CloudWatch Logs の timestamp はミリ秒単位の Unix 時間（整数）です
• startFromHead=False: 最新のログから取得します（デフォルトは古いものから）
• METRIC_NAMESPACE: 環境変数の LOG_GROUP_NAME からスタック名を抽出して名前空間に使います

Step 4: samconfig.toml を作成する

samconfig.toml は .gitignore で管理外のため、毎回手動で作成する必要があります。

chatbot-log-api/samconfig.toml を新規作成して以下を貼り付けます。

version = 0.1

[default.deploy.parameters]
stack_name = "chatbot-log-api-stack"
resolve_s3 = true
s3_prefix = "chatbot-log-api-stack"
region = "ap-northeast-1"
confirm_changeset = true
capabilities = "CAPABILITY_IAM"
disable_rollback = true
image_repositories = []

[default.global.parameters]
region = "ap-northeast-1"

samconfig.toml の置き場所:
chatbot-log-api/ フォルダの直下に置く必要があります。

Step 5: sam build（ビルド）

cd C:\my-aws\aws-learning-projects\chatbot-log-api
sam build

成功すると以下のように表示されます。

Build Succeeded

Built Artifacts  : .aws-sam/build
Built Template   : .aws-sam/build/template.yaml

sam build が行っていること:
src/ フォルダを ZIP パッケージ化して .aws-sam/build/ に配置し、Lambda デプロイの準備を整えます。

Step 6: sam deploy（デプロイ）

sam deploy

変更内容が表示されて確認を求められます。

Deploy this changeset? [y/N]: y

y を入力して進めます。数分でデプロイが完了します。

デプロイ完了の確認

ターミナルに Outputs が表示されます。

Outputs
----------------------------------------------------------------------
Key    ApiUrl
Value  https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod

Key    LogGroupName
Value  /chatbot/chatbot-log-api-stack

Key    MetricNamespace
Value  ChatBot/chatbot-log-api-stack
----------------------------------------------------------------------

ApiUrl を控えておきます。

デプロイされるリソース一覧

API Gateway REST API × 1  : chatbot-log-api-stack
Lambda 関数 × 1           : chatbot-log-api-stack-ChatLogFunction-XXXX
CloudWatch Log Group × 1  : /chatbot/chatbot-log-api-stack
CloudWatch Metric Filter   : ChatErrorFilter（error ログ検出）
IAM ロール × 1            : Lambda 用
S3                         : SAM デプロイパッケージ

Step 7: 動作テスト

事前準備: API URL を変数に設定する

set API_URL=https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod

XXXXXXXXXX を Outputs の ApiUrl の値に置き換えてください。

テスト 1: ログを記録する（POST /logs）

curl -X POST "%API_URL%/logs" ^
  -H "Content-Type: application/json" ^
  -d "{\"session_id\": \"session-001\", \"user_id\": \"user001\", \"message\": \"今日の天気は？\", \"response\": \"東京は晴れです\", \"level\": \"info\"}"

期待するレスポンス:

{
  "session_id": "session-001",
  "log_stream": "session/session-001",
  "message": "ログを記録した"
}

テスト 2: エラーログを記録する（Metric Filter のテスト）

curl -X POST "%API_URL%/logs" ^
  -H "Content-Type: application/json" ^
  -d "{\"session_id\": \"session-001\", \"user_id\": \"user001\", \"message\": \"注文履歴を見せて\", \"response\": \"エラーが発生しました\", \"level\": \"error\"}"

level: "error" のログが CloudWatch Logs に書き込まれると、
Metric Filter が反応して ChatErrorCount メトリクスが +1 されます（数分後に反映）。

テスト 3: ログを取得する（GET /logs）

curl "%API_URL%/logs?session_id=session-001"

期待するレスポンス:

{
  "session_id": "session-001",
  "log_count": 2,
  "logs": [
    {
      "timestamp_ms": 1700000000000,
      "log": {
        "session_id": "session-001",
        "user_id": "user001",
        "message": "今日の天気は？",
        "response": "東京は晴れです",
        "level": "info"
      }
    },
    {
      "timestamp_ms": 1700000010000,
      "log": {
        "session_id": "session-001",
        "user_id": "user001",
        "message": "注文履歴を見せて",
        "response": "エラーが発生しました",
        "level": "error"
      }
    }
  ]
}

Step 8: AWSコンソールで確認（任意）

SAMでデプロイしたリソースはコンソールでも確認できます。

CloudWatch Logs でログを確認する

CloudWatch → ロググループ → /chatbot/chatbot-log-api-stack → ログストリーム

• session/session-001 ストリームに会話ログが JSON で記録されています

CloudWatch Logs Insights でクエリを実行する

CloudWatch → Logs Insights → ロググループに /chatbot/chatbot-log-api-stack を選択

時間範囲を「直近1時間」など幅のある範囲に設定してからクエリを実行します。

注意: 開始時刻と終了時刻が同じだとエラー Query's end date and time is either before the log groups creation time... が出ます。カレンダーアイコンで時間幅を確保してください。

エラーログだけを抽出するクエリ:

fields @timestamp, session_id, user_id, level, message
| filter level = "error"
| sort @timestamp desc
| limit 20

セッション別メッセージ数を集計するクエリ:

stats count(*) as message_count by session_id
| sort message_count desc

カスタムメトリクスを確認する

CloudWatch → メトリクス → すべてのメトリクス → カスタム名前空間 → ChatBot/chatbot-log-api-stack

Step 9: リソースの削除

課金を止めるために、ハンズオン完了後は必ずリソースを削除してください。

sam delete --stack-name chatbot-log-api-stack --region ap-northeast-1

Are you sure you want to delete the stack chatbot-log-api-stack? [y/N]: y
Are you sure you want to delete the folder chatbot-log-api-stack in S3? [y/N]: y

削除完了の確認:

aws cloudformation describe-stacks --stack-name chatbot-log-api-stack --region ap-northeast-1

Stack with id chatbot-log-api-stack does not exist が表示されれば削除完了。

削除されるリソース一覧（sam delete で自動削除）:

• API Gateway（REST API + Prod ステージ）
• Lambda 関数
• CloudWatch Log Group（/chatbot/chatbot-log-api-stack）— ログも含めて削除
• CloudWatch Metric Filter
• IAM ロール

手動削除が必要なリソース:

• Lambda 実行ログ（/aws/lambda/chatbot-log-api-stack-ChatLogFunction-xxxx）
  Lambda が初回実行時に自動作成するロググループで、CloudFormation の管理外のため sam delete では削除されません。
  CloudWatch → ログ管理 → 該当ロググループを選択 → アクション → 削除 で手動削除します。
• CloudWatch カスタムメトリクス（MessageCount、ChatErrorCount）は独立して管理されます。
  不要な場合は CloudWatch → メトリクス → アクション → 削除で個別に削除します（コストはかかりにくいため省略可）。

トラブルシューティング

まとめ

今回のハンズオンで実現したこと：

SAMのメリットを実感できたポイント

• !GetAtt ChatLogGroup.Arn により、IAM ポリシーの ARN をハードコードせず動的に解決できる
• RetentionInDays や Metric Filter をコードで管理することで、設定漏れ・設定ミスを防げる
• sam delete でコンソール版では手動削除が必要な複数リソースを1コマンドで削除できる

コンソール版と比較してみる

SAMが裏で何をやっているか、同じ構成をAWSコンソールのみで構築する手順をまとめました。コンソール版では IAM インラインポリシーの ARN を手動入力する必要がある仕組みや、Metric Filter の GUI 設定方法など、コンソールならではの操作を解説しています。

関連記事

Amazon検索[本 AWS 開発]

The post AWS SAM でチャットボットログAPIを構築しよう【API Gateway + Lambda + CloudWatch Logs ハンズオン / コンソール版との比較付き】 first appeared on CayTech Lab.

はじめに

「ログインしたユーザーだけが使えるAPIを作りたい」——そんな要件を、Amazon Cognito + API Gateway + Lambda はサーバー側の認証コードをほぼ書かずに実現します。

この記事では、AWSコンソールのみを使って、以下の構成の認証付き REST API をゼロから構築するハンズオンを紹介します。

クライアント（curl）
  │
  ├─ GET /hello  → 認証不要 → Lambda → 200 OK
  │
  └─ GET /profile
        ├─ Authorizationヘッダーなし → API Gateway が 401 を返す（Lambda は呼ばれない）
        └─ Authorization: <IDトークン>
              → Cognito Authorizer が JWT を検証（Lambda 不要）
              → Lambda → email / sub を返す → 200 OK

このハンズオンで体験できること：

• Amazon Cognito User Pool によるユーザー管理と JWT 発行
• API Gateway の Cognito Authorizer を使ったエンドポイントごとの認証制御
• Lambda 側で認証コードを書かずに claims（ユーザー情報）を取得するパターン
• 新UI対応 — Cognito コンソールの大幅変更点と、操作でハマりやすいポイント

この記事は SAM版ハンズオン の比較記事です。
コンソール操作でCognitoとAPI Gatewayの連携を視覚的に学び、SAMと何が違うのかを比較したい方向けです。

Amazon検索[本 AWS 開発]

Cognito 新UIで戸惑いやすいポイント（先読み）

操作を始める前に、2026年時点の新UIで戸惑いやすい変更点を把握しておきましょう。

最大のハマりポイント（クライアントシークレット）：
新UIの「アプリケーションを作成」で「従来のウェブアプリケーション」を選ぶと、クライアントシークレットが自動で付与されます。シークレットありのクライアントで initiate-auth を実行すると SECRET_HASH was not received エラーが出て詰まります。
このハンズオンでは②の手順でシークレットなしのクライアントを別途作成します。

キーワード解説

前提条件

AWS CLI がない場合は、テスト操作に AWSコンソールの CloudShell を代用できます（後述）。

使用するAWSサービス

全体の作業順序

① Cognito User Pool を作成する（新UI対応）
      ↓
② テスト用アプリクライアントを作成する（シークレットなし）
      ↓
③ Lambda 関数を作成する
      ↓
④ API Gateway REST API を作成する
  （/hello・/profile エンドポイント + Cognito Authorizer 設定）
      ↓
⑤ テストユーザーを作成する
      ↓
⑥ 動作テスト（401確認 → JWTトークン取得 → 認証成功）
      ↓
⑦ リソースの削除

① Cognito User Pool を作成する

AWSコンソール → Cognito → 「アプリケーションを作成」

新UIの注意：
旧UIにあった「ユーザープールを作成」ボタンは廃止されています。現在は「アプリケーションを作成」からウィザードで User Pool とクライアントをまとめて作成します。

1-1. アプリケーションを定義する

1-2. オプションを設定する

サインイン識別子は作成後に変更不可。 「メールアドレス」のみ選択しておくことを推奨します。

1-3. リターン URL（スキップ）

「リターン URL を追加」は入力不要（今回はマネージドログインページを使わないため）。

画面下部の「ユーザーディレクトリを作成する」をクリック。

控えておく情報

作成後、User Pool の概要ページが開きます。

• ユーザープール ID（例: ap-northeast-1_XXXXXXXX）
  → 概要ページの「ユーザープール情報」欄に表示
• クライアント ID（例: XXXXXXXXXXXXXXXXXXXXXXXXXX）
  → 左サイドバー「アプリケーション」→「アプリケーションクライアント」→ MyWebApp をクリック → 「クライアント ID」欄

注意： 概要ページの「レコメンデーション」欄にも MyWebApp のリンクが表示されますが、これは Quick Setup ガイドへの誘導です。クライアント ID は左サイドバーから辿ってください。

User Pool 名について：
新UIでは、アプリ名の前に User pool - が自動で付きます（例: User pool - MyWebApp）。以降の手順では「作成した User Pool」と表記します。

② テスト用アプリクライアントを作成する

新UIの「アプリケーションを作成」で自動作成された MyWebApp クライアントにはクライアントシークレットが自動付与されています。シークレットありのクライアントで CLI から initiate-auth を実行すると SECRET_HASH was not received エラーが出ます。

そのため、シークレットなし・ALLOW_USER_PASSWORD_AUTH 有効の新しいクライアントを別途作成します。

Cognito → 作成した User Pool → 左サイドバー「アプリケーション」→「アプリケーションクライアント」→「アプリケーションクライアントを作成」

2-1. アプリケーションを定義する

「SPA」を選ぶ理由：
新UIでは「従来のウェブアプリケーション」を選ぶとクライアントシークレットが必須になります。「SPA」を選ぶとシークレットなしで作成できます。CLI テスト目的ではこちらを使います。

2-2. リターン URL（スキップ）

入力不要。

2-3. Client secret configuration

SPA を選択した場合、この欄は表示されません（シークレットなしで自動確定）。

「アプリケーションクライアントを作成」をクリック。

2-4. 認証フローを確認する

作成後、MyWebAppClient をクリックして詳細画面を開きます。

「認証フロー」セクションに ALLOW_USER_PASSWORD_AUTH が含まれていることを確認します。

含まれていない場合は「編集」→「ALLOW_USER_PASSWORD_AUTH」にチェック → 「変更を保存」。

ALLOW_USER_PASSWORD_AUTH とは：
CLI から username と password を直接指定して認証する「ユーザーパスワード認証」フローです。テスト用に有効化します（本番環境では SRP フローが推奨）。

控えておく情報（更新）：

• クライアント ID → 新しく作成した MyWebAppClient のクライアント ID を使う（① の MyWebApp のクライアント ID は使わない）

③ Lambda 関数を作成する

AWSコンソール → Lambda → 「関数の作成」

「関数の作成」をクリック。

コードの入力

関数ページ → 「コード」タブ → lambda_function.py を開いて既存の内容を全て置き換えて以下を貼り付けます。

import json


def lambda_handler(event, context):
    resource = event.get("resource", "/")  # API Gateway プロキシ統合: リクエストパスが "resource" に入る

    if resource == "/hello":
        return {
            "statusCode": 200,
            "headers": {"Content-Type": "application/json"},
            "body": json.dumps({"message": "Hello! This is a public endpoint."}),
        }

    if resource == "/profile":
        # event["requestContext"]["authorizer"]["claims"] に JWT ペイロードが格納される
        claims = (
            event.get("requestContext", {})
            .get("authorizer", {})
            .get("claims", {})
        )
        return {
            "statusCode": 200,
            "headers": {"Content-Type": "application/json"},
            "body": json.dumps(
                {
                    "message": "認証成功",
                    "email": claims.get("email"),
                    "sub": claims.get("sub"),          # Cognito が生成したユーザーの一意 ID
                    "token_use": claims.get("token_use"),  # "id" が返る（IDトークンを使っているため）
                },
                ensure_ascii=False,
            ),
        }

    return {
        "statusCode": 404,
        "headers": {"Content-Type": "application/json"},
        "body": json.dumps({"message": "Not Found"}),
    }

「Deploy」ボタンをクリックしてコードを保存します。

Lambda 側で認証コードが不要な理由：
API Gateway の Cognito Authorizer が IDトークン（JWT）の検証をすべて担っています。Lambda が呼ばれた時点では認証済みであることが保証されており、検証済みの claims だけを受け取って使えばよい設計です。

④ API Gateway REST API を作成する

AWSコンソール → API Gateway → 「APIを作成」

4-1. API タイプの選択

「REST API」の「構築」をクリック。

「APIを作成」をクリック。

4-2. リソース /hello を作成する

左のリソースツリーで /（ルート）を選択 → 「リソースを作成」ボタンをクリック

新UIの注意点：
「リソースパス」はリソースを作成する親パスの選択（/ = ルート配下という意味）です。/hello と入力する欄ではありません。「リソース名」に hello と入力するだけで OK です。

「リソースを作成」をクリック。

/hello を選択した状態で → 「メソッドを作成」→ メソッドタイプ GET を選択

「保存」→「OK」（Lambda 呼び出し権限の追加確認）。

4-3. リソース /profile を作成する

左のリソースツリーで /（ルート）を選択 → 「リソースを作成」

「リソースを作成」をクリック。

/profile を選択した状態で → 「メソッドを作成」→ メソッドタイプ GET を選択

「保存」をクリック。

4-4. Cognito Authorizer を作成する

左側メニューの「オーソライザー」→「オーソライザーを作成」

新UIの注意点：
「トークンのソース」はデフォルトで空欄になっています。Authorization と入力しないと動作しません。入力を忘れると全リクエストが 401 になります。

「オーソライザーを作成」をクリック。

動作確認：

「オーソライザーのテスト」→ テスト用トークン欄に適当な文字を入力 → 「テスト」→ 401 が返れば正常（正しいトークンがないため 401 が正解）。

4-5. /profile GET メソッドに Authorizer を設定する

左のリソースツリーで /profile → GET を選択 → 「メソッドリクエストの設定」セクションの「編集」ボタンをクリック

「認可」ドロップダウンを開き、Cognito ユーザープールオーソライザー の配下にある CognitoAuthorizer を選択 → 「保存」

新UIの注意点：
選択肢は なし / AWS IAM / Cognito ユーザープールオーソライザー（カテゴリ）→ CognitoAuthorizer の階層構造になっています。
CognitoAuthorizer はカテゴリ名ではなく、その下にインデントされた項目を選んでください。

ポイント：
/hello GET には Authorizer を設定しない（認証不要）。
/profile GET にのみ CognitoAuthorizer を設定することで、エンドポイントごとに認証要件を分けます。

4-6. API をデプロイする

「アクション」→「API のデプロイ」

「デプロイ」をクリック。

控えておく情報：

「Prod ステージエディター」に表示される URL の呼び出し（例: https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod）をコピーします。

⑤ テストユーザーを作成する

Cognito → 作成した User Pool → 左サイドバー「ユーザー管理」→「ユーザー」→「ユーザーを作成」

パスワードポリシー（新UIのデフォルト）：
最小8文字 / 数字・小文字・大文字・特殊文字をそれぞれ1文字以上含むこと。
TestPass1 は特殊文字がないため不可。TestPass1! を使ってください。

「ユーザーを作成」をクリック。

ユーザーの「確認ステータス」列に 「パスワードを強制的に変更」 と表示されます（= FORCE_CHANGE_PASSWORD 状態）。
この状態で initiate-auth を実行してもトークンが返らず NEW_PASSWORD_REQUIRED チャレンジが返されます。
次の CLI コマンドで永続パスワードを設定して「確認済み」（CONFIRMED）に変更します。

CLI で永続パスワードを設定する：

方法 A: CloudShell（コンソール版ハンズオンにおすすめ）

AWSコンソール画面下部の「CloudShell」をクリックして起動します。コンソールと同じ認証情報が自動で使われるため追加設定は不要。

aws cognito-idp admin-set-user-password \
  --user-pool-id ap-northeast-1_XXXXXXXX \
  --username test@example.com \
  --password 'TestPass1!' \
  --permanent \
  --region ap-northeast-1

CloudShell は Linux シェルのため \ で改行します。! を含むパスワードはシングルクォート '...' で囲んでください（ダブルクォートだと bash がエラーになる場合があります）。

方法 B: ローカルの AWS CLI（コマンドプロンプト）

aws cognito-idp admin-set-user-password ^
  --user-pool-id ap-northeast-1_XXXXXXXX ^
  --username test@example.com ^
  --password TestPass1! ^
  --permanent ^
  --region ap-northeast-1

ap-northeast-1_XXXXXXXX を ① で控えたユーザープール ID に置き換えてください。

コマンドが出力なしで返れば成功です。コンソールでユーザーの「確認ステータス」が**「確認済み」**に変わったことを確認してください。

⑥ 動作テスト

テスト1: 公開エンドポイント（/hello）→ 200

curl https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod/hello

期待するレスポンス:

{"message": "Hello! This is a public endpoint."}

テスト2: 未認証でプライベートエンドポイント（/profile）→ 401

curl https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod/profile

期待するレスポンス（API Gateway が返す。Lambda は呼ばれていない）:

{"message": "Unauthorized"}

テスト3: IDトークンを取得する

aws cognito-idp initiate-auth ^
  --auth-flow USER_PASSWORD_AUTH ^
  --auth-parameters "USERNAME=test@example.com,PASSWORD=TestPass1!" ^
  --client-id XXXXXXXXXXXXXXXXXXXXXXXXXX ^
  --region ap-northeast-1

XXXXXXXXXXXXXXXXXXXXXXXXXX を ② で控えた MyWebAppClient のクライアント ID に置き換えてください（① の MyWebApp のクライアント ID ではありません）。

レスポンス例（抜粋）:

{
    "AuthenticationResult": {
        "AccessToken": "eyJra...",
        "ExpiresIn": 3600,
        "TokenType": "Bearer",
        "RefreshToken": "eyJjb...",
        "IdToken": "eyJra..."
    }
}

IdToken の値をコピーしておきます（次のテストで使用）。

IdToken と AccessToken の違い：

トークン	用途	含まれる情報
IdToken	ユーザー認証（今回使用）	email / sub など
AccessToken	Cognito API へのアクセス	sub / scope など

API Gateway の Cognito Authorizer に渡すのは IdToken。AccessToken を渡しても 403 になります。

テスト4: 認証ありでプライベートエンドポイント（/profile）→ 200

IdToken は非常に長いため、変数に格納してから実行します。

方法 A: CloudShell（おすすめ）

TOKEN="eyJra...（IdToken全体を貼り付ける）"
curl -H "Authorization: $TOKEN" https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod/profile

方法 B: Windows CMD（変数使用）

set TOKEN=eyJra...（IdToken全体を貼り付ける）
curl -H "Authorization: %TOKEN%" https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod/profile

重要： CMD では変数展開に %TOKEN% を使います。$TOKEN（bash 構文）を CMD で使うと文字列 $TOKEN がそのまま送られ 401 になります。
また Bearer プレフィックスは不要です。raw JWT をそのまま Authorization ヘッダーに指定してください。

期待するレスポンス:

{
  "message": "認証成功",
  "email": "test@example.com",
  "sub": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "token_use": "id"
}

sub は Cognito が自動生成したユーザーの一意 ID です。
token_use: "id" は IDトークンを使っていることを示します。

⑦ リソースの削除

課金を止めるために、ハンズオン完了後は必ずリソースを削除してください。

1. API Gateway を削除する

API Gateway → APIs → CognitoSampleApi を選択 → 「アクション」→「APIの削除」

2. Lambda 関数を削除する

Lambda → 関数 → CognitoApiFunction を選択 → 「アクション」→「削除」

3. Cognito User Pool を削除する

Cognito → 作成した User Pool → 右上の「ユーザープールを削除」ボタン → ユーザープール名を入力 → 「削除」

ユーザーとアプリクライアントも一緒に削除されます。

4. IAM ロールを削除する（任意）

IAM → ロール → CognitoApiFunction-role-XXXX を検索して削除

5. CloudWatch Logs のロググループを削除する（任意）

CloudWatch → ロググループ → /aws/lambda/CognitoApiFunction → 削除

SAMとの対比

トラブルシューティング

まとめ

今回のハンズオンで体験できたこと：

コンソール版とSAM版を比較してみる

コンソールでCognitoとAPI Gatewayの連携を理解したら、SAMで同じ構成をコードで定義することで「SAMが何を自動化しているか」が明確になります。DefaultAuthorizer によるワンライン認証設定や、ALLOW_USER_PASSWORD_AUTH の自動有効化など、コンソールでの手動操作がコードに対応しています。

関連記事

Amazon検索[本 AWS 開発]

The post AWSコンソールだけでCognito + API Gateway + Lambda の認証付きAPIを構築する手順【SAM版との比較付き / 新UI対応】 first appeared on CayTech Lab.

はじめに

「認証付きAPIの構成をコードで管理して、チームで再現できるようにしたい」——そんな要件に、AWS SAM（Serverless Application Model） は最適な選択肢のひとつです。

この記事では、AWS SAM を使って、Cognito + API Gateway + Lambda による認証付き REST API をゼロから構築するハンズオンを紹介します。

クライアント（curl）
  │
  ├─ GET /hello  → API Gateway（認証なし）→ Lambda → 200 OK
  │
  └─ GET /profile
        ├─ Authorization ヘッダーなし → API Gateway が 401 を返す
        └─ Authorization: <IDトークン>
              → Cognito Authorizer が JWT を検証（Lambda 不要）
              → Lambda → email / sub を返す → 200 OK

このハンズオンで体験できること：

• AWS::Cognito::UserPool と AWS::Cognito::UserPoolClient の SAM 定義
• DefaultAuthorizer を使ったエンドポイント単位の認証制御（1行で全エンドポイントに認証を適用）
• Authorizer: NONE で特定エンドポイントだけ認証を除外するパターン
• CLI でのテスト実行（ユーザー作成 → IDトークン取得 → 認証済みリクエスト）

このハンズオンの特徴：

• sam build + sam deploy の 2コマンドで全リソースをデプロイ
• Cognito User Pool / User Pool Client / API Gateway / Lambda / IAM ロールを template.yaml 1ファイルで管理
• sam delete で全リソースを一括削除（コンソール版では各リソースを個別に削除する必要がある）

Amazon検索[本 AWS 開発]

SAM vs コンソール：どれだけ違うか

キーワード解説

前提条件

aws sts get-caller-identity

アカウントIDが表示されれば認証設定済みです。

使用するAWSサービス

Step 1: プロジェクトフォルダを開く

cd C:\my-aws\aws-learning-projects\cognito-api-lambda

フォルダ構造

cognito-api-lambda/
├── template.yaml       # SAMテンプレート（Cognito + API Gateway + Lambda 定義）
├── samconfig.toml      # デプロイ設定（gitignore 対象・毎回手動作成が必要）
├── docs/
│   ├── 1_console.md    # AWSコンソール版手順
│   └── 2_sam.md        # SAM版手順
└── src/
    └── app.py          # Lambda 関数（/hello と /profile を処理）

Step 2: SAMテンプレートの確認（template.yaml）

template.yaml は全 AWSリソースの設計図です。ポイントを確認しておきます。

Cognito リソースの定義

Resources:
  UserPool:
    Type: AWS::Cognito::UserPool
    Properties:
      UsernameAttributes: [email]     # メールアドレスでログイン
      Policies:
        PasswordPolicy:
          MinimumLength: 8            # 記号・大文字不要（テスト用に緩和）

  # アプリクライアント: CLI から initiate-auth で使う
  UserPoolClient:
    Type: AWS::Cognito::UserPoolClient
    Properties:
      GenerateSecret: false           # シークレットなし（CLI テスト用）
      ExplicitAuthFlows:
        - ALLOW_USER_PASSWORD_AUTH    # username/password で直接認証（テスト用）
        - ALLOW_REFRESH_TOKEN_AUTH

API Gateway と Cognito Authorizer の定義

  MyApi:
    Type: AWS::Serverless::Api
    Properties:
      StageName: Prod
      Auth:
        # DefaultAuthorizer を指定 → 全エンドポイントにデフォルトで認証が必要になる
        DefaultAuthorizer: CognitoAuthorizer
        Authorizers:
          CognitoAuthorizer:
            UserPoolArn: !GetAtt UserPool.Arn  # User Pool と自動的に紐付け
            Identity:
              Header: Authorization            # JWT を Authorization ヘッダーで受け取る

Lambda 関数とエンドポイントの定義

  ApiFunction:
    Type: AWS::Serverless::Function
    Properties:
      Events:
        PublicEndpoint:              # /hello: 公開エンドポイント
          Type: Api
          Properties:
            Path: /hello
            Method: get
            Auth:
              Authorizer: NONE       # DefaultAuthorizer を明示的に無効化

        PrivateEndpoint:             # /profile: 認証必須
          Type: Api
          Properties:
            Path: /profile
            Method: get
            # Auth 指定なし → DefaultAuthorizer（CognitoAuthorizer）が自動適用

template.yaml のポイント解説

Step 3: Lambda コードの確認（src/app.py）

src/app.py の構造を把握しておきます。

import json


def lambda_handler(event, context):
    resource = event.get("resource", "/")   # API Gateway プロキシ統合: リクエストパスが入る

    if resource == "/hello":
        return {"statusCode": 200, "body": json.dumps({"message": "Hello! This is a public endpoint."})}

    if resource == "/profile":
        # Cognito Authorizer が JWT を検証済み
        # JWT ペイロードが event["requestContext"]["authorizer"]["claims"] に格納される
        claims = (
            event.get("requestContext", {})
            .get("authorizer", {})
            .get("claims", {})
        )
        return {
            "statusCode": 200,
            "headers": {"Content-Type": "application/json"},
            "body": json.dumps(
                {
                    "message": "認証成功",
                    "email": claims.get("email"),
                    "sub": claims.get("sub"),          # Cognito が生成したユーザーの一意 ID
                    "token_use": claims.get("token_use"),  # "id" が返る（IDトークンを使っているため）
                },
                ensure_ascii=False,
            ),
        }

    return {"statusCode": 404, "body": json.dumps({"message": "Not Found"})}

app.py のポイント：

• Lambda 側でトークン検証は一切不要。Cognito Authorizer が自動で行う
• claims には email / sub / token_use など JWT ペイロードの全フィールドが格納される
• /hello への呼び出しでは claims は空（Authorizer が動作しないため）

各コードの全文はコンソール版記事を参照してください。
SAM版・コンソール版で使用する Lambda コードは共通です。コンソール版では手順とあわせてコードを全文掲載しています。

→ AWSコンソールだけでCognito + API Gateway + Lambda の認証付きAPIを構築する手順

Step 4: samconfig.toml を作成する

samconfig.toml は .gitignore で管理外のため、毎回手動で作成する必要があります。

cognito-api-lambda/samconfig.toml を新規作成して以下を貼り付けます。

version = 0.1

[default.deploy.parameters]
stack_name = "cognito-api-lambda-stack"
resolve_s3 = true
s3_prefix = "cognito-api-lambda-stack"
region = "ap-northeast-1"
confirm_changeset = true
capabilities = "CAPABILITY_IAM"
disable_rollback = true
image_repositories = []

[default.global.parameters]
region = "ap-northeast-1"

samconfig.toml の置き場所：
cognito-api-lambda/ フォルダの直下に置く必要があります。

Step 5: sam build（ビルド）

cd C:\my-aws\aws-learning-projects\cognito-api-lambda
sam build

成功すると以下のように表示されます。

Build Succeeded

Built Artifacts  : .aws-sam/build
Built Template   : .aws-sam/build/template.yaml

sam build が行っていること：

• src/ フォルダを ZIP パッケージ化して .aws-sam/build/ に配置
• template.yaml を .aws-sam/build/template.yaml にコピー
• Lambda デプロイの準備を整える

Step 6: sam deploy（デプロイ）

sam deploy

変更内容が表示されて確認を求められます。

Deploy this changeset? [y/N]: y

y を入力して進めます。数分でデプロイが完了します。

デプロイ完了の確認

ターミナルに Outputs が表示されます。

Outputs
----------------------------------------------------------------------
Key    ApiUrl
Value  https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod

Key    UserPoolId
Value  ap-northeast-1_XXXXXXXX

Key    UserPoolClientId
Value  XXXXXXXXXXXXXXXXXXXXXXXXXX
----------------------------------------------------------------------

3つの値を全て控えておきます。（テスト実行コマンドで使用）

デプロイされるリソース一覧

Cognito User Pool × 1              : cognito-api-lambda-stack-user-pool
Cognito User Pool Client × 1       : シークレットなし（ALLOW_USER_PASSWORD_AUTH 有効）
API Gateway REST API × 1           : cognito-api-lambda-stack + Prod ステージ
Lambda 関数 × 1                    : cognito-api-lambda-stack-ApiFunction-XXXX
IAM ロール × 1                     : Lambda 実行ロール
S3                                 : SAM デプロイパッケージ
CloudWatch Logs                    : Lambda 自動生成ログ × 1

Step 7: 動作テスト

事前準備: 変数を設定する

set API_URL=https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod
set USER_POOL_ID=ap-northeast-1_XXXXXXXX
set CLIENT_ID=XXXXXXXXXXXXXXXXXXXXXXXXXX

テスト1: テストユーザーを作成する

aws cognito-idp admin-create-user ^
  --user-pool-id %USER_POOL_ID% ^
  --username test@example.com ^
  --region ap-northeast-1

ユーザーが FORCE_CHANGE_PASSWORD 状態で作成されます。次のコマンドで永続パスワードを設定して CONFIRMED 状態にします。

aws cognito-idp admin-set-user-password ^
  --user-pool-id %USER_POOL_ID% ^
  --username test@example.com ^
  --password TestPass1 ^
  --permanent ^
  --region ap-northeast-1

レスポンスなし（エラーが出なければ成功）。

FORCE_CHANGE_PASSWORD 状態とは：
Cognito で管理者が作成したユーザーの初期状態です。この状態で initiate-auth を実行すると NEW_PASSWORD_REQUIRED チャレンジが返されてトークンが取得できません。--permanent フラグを付けて admin-set-user-password を実行することで CONFIRMED（認証済み）状態に変えられます。

テスト2: 公開エンドポイントのテスト（/hello）→ 200

curl %API_URL%/hello

期待するレスポンス:

{"message": "Hello! This is a public endpoint."}

テスト3: 未認証でプライベートエンドポイント（/profile）→ 401

curl %API_URL%/profile

期待するレスポンス（API Gateway が返す。Lambda は呼ばれていない）:

{"message": "Unauthorized"}

テスト4: IDトークンを取得する

aws cognito-idp initiate-auth ^
  --auth-flow USER_PASSWORD_AUTH ^
  --auth-parameters "USERNAME=test@example.com,PASSWORD=TestPass1" ^
  --client-id %CLIENT_ID% ^
  --region ap-northeast-1

レスポンス例（抜粋）:

{
    "AuthenticationResult": {
        "IdToken": "eyJra...",
        "AccessToken": "eyJra...",
        "RefreshToken": "eyJjb...",
        "ExpiresIn": 3600,
        "TokenType": "Bearer"
    }
}

IdToken の値をコピーします（次のテストで使用）。

IdToken と AccessToken の違い：

トークン	用途	JWT ペイロード
IdToken	ユーザー認証（今回使用）	email / sub など
AccessToken	Cognito API へのアクセス	sub / scope など

API Gateway の Cognito Authorizer に渡すのは IdToken。AccessToken を渡すと 403 になります。

テスト5: 認証ありでプライベートエンドポイント（/profile）→ 200

set ID_TOKEN=eyJra...（上記で取得した IdToken の値）

curl -H "Authorization: %ID_TOKEN%" %API_URL%/profile

重要： Bearer プレフィックスは不要です。raw JWT（eyJra...）をそのまま Authorization ヘッダーに指定してください。

期待するレスポンス:

{
  "message": "認証成功",
  "email": "test@example.com",
  "sub": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "token_use": "id"
}

Step 8: AWSコンソールで確認（任意）

SAM でデプロイしたリソースはコンソールでも確認できます。

• API Gateway: APIs → cognito-api-lambda-stack → オーソライザー → CognitoAuthorizer が作成されていることを確認
• Cognito: ユーザープール → 作成された User Pool → ユーザー一覧で test@example.com が「確認済み」になっていることを確認
• Lambda: Lambda → 関数 → cognito-api-lambda-stack-ApiFunction-XXXX → 「モニタリング」タブ → テスト5実行後に呼び出し回数が増加していることを確認

Step 9: リソースの削除

課金を止めるために、ハンズオン完了後は必ずリソースを削除してください。

sam delete --stack-name cognito-api-lambda-stack --region ap-northeast-1

対話式で確認が入ります。両方 y で進めます。

Are you sure you want to delete the stack cognito-api-lambda-stack? [y/N]: y
Are you sure you want to delete the folder cognito-api-lambda-stack in S3? [y/N]: y

削除完了の確認

aws cloudformation describe-stacks --stack-name cognito-api-lambda-stack --region ap-northeast-1

An error occurred (ValidationError): Stack with id cognito-api-lambda-stack does not exist

このメッセージが表示されれば削除完了です。

sam delete で削除されるリソース一覧

コンソール版との大きな違い（SAMのメリット）：
コンソール版では API Gateway / Lambda / Cognito / IAM ロール / ロググループを個別に削除する必要があります。
SAMでは sam delete 1コマンドで全リソースを一括削除できます。

トラブルシューティング

まとめ

今回のハンズオンで実現したこと：

SAMのメリットを実感できたポイント

• GenerateSecret: false + ExplicitAuthFlows でシークレットなしクライアントを定義（コンソール版では SPA タイプのクライアントを別途手動作成）
• DefaultAuthorizer の1行で全エンドポイントに Cognito 認証を適用（コンソール版では各エンドポイントに手動設定）
• UserPoolArn: !GetAtt UserPool.Arn で Cognito Authorizer と User Pool を自動連携（コンソール版では手動選択 + トークンのソースを手入力）

コンソール版と比較してみる

SAMが裏で何をやっているか、同じ構成をAWSコンソールのみで構築する手順をまとめました。Cognitoの新UIで変わった操作（「アプリケーションを作成」からのウィザード、シークレットなしクライアントの作成方法、Authorizer のトークンソース設定）など、コンソール版ならではのつまずきポイントを解説しています。

関連記事

Amazon検索[本 AWS 開発]

The post AWSハンズオン - Cognito + API Gateway + Lambda で認証付きAPIをSAMで構築しよう【コンソール版との比較付き】 first appeared on CayTech Lab.