JWT - CayTech Lab https://caymezon.com Sun, 01 Mar 2026 08:50:35 +0000 ja hourly 1 https://wordpress.org/?v=6.9.4 https://caymezon.com/wp-content/uploads/2026/01/cropped-CayTechLab-32x32.jpg JWT - CayTech Lab https://caymezon.com 32 32 AWSコンソールだけでCognito + API Gateway + Lambda の認証付きAPIを構築する手順【SAM版との比較付き / 新UI対応】 https://caymezon.com/aws-handson-console-cognito-api-gateway-lambda/ https://caymezon.com/aws-handson-console-cognito-api-gateway-lambda/#respond Sun, 01 Mar 2026 08:50:35 +0000 https://caymezon.com/?p=20237 目次 はじめにCognito 新UIで戸惑いやすいポイント(先読み)キーワード解説前提条件使用するAWSサービス全体の作業順序① Cognito User Pool を作成する1-1. アプリケーションを定義する1-2. […]

The post AWSコンソールだけでCognito + API Gateway + Lambda の認証付きAPIを構築する手順【SAM版との比較付き / 新UI対応】 first appeared on CayTech Lab.

]]>
  1. はじめに
  2. Cognito 新UIで戸惑いやすいポイント(先読み)
  3. キーワード解説
  4. 前提条件
  5. 使用するAWSサービス
  6. 全体の作業順序
  7. ① Cognito User Pool を作成する
    1. 1-1. アプリケーションを定義する
    2. 1-2. オプションを設定する
    3. 1-3. リターン URL(スキップ)
    4. 控えておく情報
  8. ② テスト用アプリクライアントを作成する
    1. 2-1. アプリケーションを定義する
    2. 2-2. リターン URL(スキップ)
    3. 2-3. Client secret configuration
    4. 2-4. 認証フローを確認する
  9. ③ Lambda 関数を作成する
    1. コードの入力
  10. ④ API Gateway REST API を作成する
    1. 4-1. API タイプの選択
    2. 4-2. リソース /hello を作成する
    3. 4-3. リソース /profile を作成する
    4. 4-4. Cognito Authorizer を作成する
    5. 4-5. /profile GET メソッドに Authorizer を設定する
    6. 4-6. API をデプロイする
  11. ⑤ テストユーザーを作成する
  12. ⑥ 動作テスト
    1. テスト1: 公開エンドポイント(/hello)→ 200
    2. テスト2: 未認証でプライベートエンドポイント(/profile)→ 401
    3. テスト3: IDトークンを取得する
    4. テスト4: 認証ありでプライベートエンドポイント(/profile)→ 200
  13. ⑦ リソースの削除
    1. 1. API Gateway を削除する
    2. 2. Lambda 関数を削除する
    3. 3. Cognito User Pool を削除する
    4. 4. IAM ロールを削除する(任意)
    5. 5. CloudWatch Logs のロググループを削除する(任意)
  14. SAMとの対比
  15. トラブルシューティング
  16. まとめ
  17. コンソール版とSAM版を比較してみる
  18. 関連記事

はじめに

「ログインしたユーザーだけが使えるAPIを作りたい」——そんな要件を、Amazon Cognito + API Gateway + Lambda はサーバー側の認証コードをほぼ書かずに実現します。

この記事では、AWSコンソールのみを使って、以下の構成の認証付き REST API をゼロから構築するハンズオンを紹介します。

クライアント(curl)
  │
  ├─ GET /hello  → 認証不要 → Lambda → 200 OK
  │
  └─ GET /profile
        ├─ Authorizationヘッダーなし → API Gateway が 401 を返す(Lambda は呼ばれない)
        └─ Authorization: <IDトークン>
              → Cognito Authorizer が JWT を検証(Lambda 不要)
              → Lambda → email / sub を返す → 200 OK

このハンズオンで体験できること:

  • Amazon Cognito User Pool によるユーザー管理と JWT 発行
  • API Gateway の Cognito Authorizer を使ったエンドポイントごとの認証制御
  • Lambda 側で認証コードを書かずに claims(ユーザー情報)を取得するパターン
  • 新UI対応 — Cognito コンソールの大幅変更点と、操作でハマりやすいポイント

この記事は SAM版ハンズオン の比較記事です。
コンソール操作でCognitoとAPI Gatewayの連携を視覚的に学び、SAMと何が違うのかを比較したい方向けです。

Amazon検索[本 AWS 開発]

Cognito 新UIで戸惑いやすいポイント(先読み)

操作を始める前に、2026年時点の新UIで戸惑いやすい変更点を把握しておきましょう。

変更点 旧UI 新UI(現在)
User Pool 作成の入口 「ユーザープールを作成」ボタンから **「アプリケーションを作成」**ボタンから(名称が変わった)
作成の粒度 User Pool → App Client を別々に作成 1ページのウィザードで User Pool とクライアントを同時作成
クライアントシークレット デフォルトなし 「従来のウェブアプリケーション」を選ぶとシークレット必須になる
User Pool 名 指定した名前がそのまま付く アプリ名の前に User pool - が自動で付く(例: User pool - MyWebApp
クライアント ID の場所 概要ページに表示 左サイドバー → 「アプリケーション」から辿る

最大のハマりポイント(クライアントシークレット):
新UIの「アプリケーションを作成」で「従来のウェブアプリケーション」を選ぶと、クライアントシークレットが自動で付与されます。シークレットありのクライアントで initiate-auth を実行すると SECRET_HASH was not received エラーが出て詰まります。
このハンズオンでは②の手順でシークレットなしのクライアントを別途作成します。

キーワード解説

用語 意味
User Pool Cognitoのユーザーディレクトリ。ユーザー登録・認証・JWT発行を一手に担う
User Pool Client アプリが User Pool に接続するための設定。Client ID を持つ
IDトークン ログイン成功時に Cognito が発行する JWT。email / sub などのユーザー情報を含む
Cognito Authorizer API Gateway が IDトークンを検証する認可機能。Lambdaコードが不要で動作する
claims JWT ペイロードに含まれる情報(email / sub / token_use など)
FORCE_CHANGE_PASSWORD 管理者作成ユーザーの初期状態。この状態では initiate-auth がトークンを返さない

前提条件

ツール 確認コマンド 備考
AWSアカウント IAMユーザーまたはルートユーザー
AWS CLI v2(テスト用) aws --version IDトークン取得・ユーザー作成に使用

AWS CLI がない場合は、テスト操作に AWSコンソールの CloudShell を代用できます(後述)。

使用するAWSサービス

サービス 役割 料金
Amazon Cognito ユーザー管理・認証・JWT発行 月5万MAU(月間アクティブユーザー)まで無料
API Gateway REST API のエンドポイント管理・認可 月100万リクエストまで無料(無料期間12ヶ月)
Lambda APIのビジネスロジック(1関数) 月100万リクエスト・400,000 GB-秒まで無料
IAM Lambda の実行権限管理 無料
CloudWatch Logs Lambda の実行ログ 月5GBまで無料

全体の作業順序

① Cognito User Pool を作成する(新UI対応)
      ↓
② テスト用アプリクライアントを作成する(シークレットなし)
      ↓
③ Lambda 関数を作成する
      ↓
④ API Gateway REST API を作成する
  (/hello・/profile エンドポイント + Cognito Authorizer 設定)
      ↓
⑤ テストユーザーを作成する
      ↓
⑥ 動作テスト(401確認 → JWTトークン取得 → 認証成功)
      ↓
⑦ リソースの削除

① Cognito User Pool を作成する

AWSコンソール → Cognito → 「アプリケーションを作成」

新UIの注意:
旧UIにあった「ユーザープールを作成」ボタンは廃止されています。現在は「アプリケーションを作成」からウィザードで User Pool とクライアントをまとめて作成します。

1-1. アプリケーションを定義する

設定項目
アプリケーションタイプ 従来のウェブアプリケーション
アプリケーション名 MyWebApp

1-2. オプションを設定する

設定項目
サインイン識別子のオプション メールアドレス にチェック(電話番号・ユーザー名はチェック不要)
自己登録を有効 チェックする(デフォルトでチェック済み)
サインアップのための必須属性 空欄のまま(属性を選択しない)

サインイン識別子は作成後に変更不可。 「メールアドレス」のみ選択しておくことを推奨します。

1-3. リターン URL(スキップ)

「リターン URL を追加」は入力不要(今回はマネージドログインページを使わないため)。

画面下部の「ユーザーディレクトリを作成する」をクリック。

控えておく情報

作成後、User Pool の概要ページが開きます。

  • ユーザープール ID(例: ap-northeast-1_XXXXXXXX
    → 概要ページの「ユーザープール情報」欄に表示
  • クライアント ID(例: XXXXXXXXXXXXXXXXXXXXXXXXXX
    → 左サイドバー「アプリケーション」→「アプリケーションクライアント」→ MyWebApp をクリック → 「クライアント ID」欄

注意: 概要ページの「レコメンデーション」欄にも MyWebApp のリンクが表示されますが、これは Quick Setup ガイドへの誘導です。クライアント ID は左サイドバーから辿ってください。

User Pool 名について:
新UIでは、アプリ名の前に User pool - が自動で付きます(例: User pool - MyWebApp)。以降の手順では「作成した User Pool」と表記します。

② テスト用アプリクライアントを作成する

新UIの「アプリケーションを作成」で自動作成された MyWebApp クライアントにはクライアントシークレットが自動付与されています。シークレットありのクライアントで CLI から initiate-auth を実行すると SECRET_HASH was not received エラーが出ます。

そのため、シークレットなし・ALLOW_USER_PASSWORD_AUTH 有効の新しいクライアントを別途作成します。

Cognito → 作成した User Pool → 左サイドバー「アプリケーション」→「アプリケーションクライアント」→「アプリケーションクライアントを作成」

2-1. アプリケーションを定義する

設定項目
アプリケーションタイプ シングルページアプリケーション (SPA)
アプリケーション名 MyWebAppClient

「SPA」を選ぶ理由:
新UIでは「従来のウェブアプリケーション」を選ぶとクライアントシークレットが必須になります。「SPA」を選ぶとシークレットなしで作成できます。CLI テスト目的ではこちらを使います。

2-2. リターン URL(スキップ)

入力不要。

2-3. Client secret configuration

SPA を選択した場合、この欄は表示されません(シークレットなしで自動確定)。

アプリケーションクライアントを作成」をクリック。

2-4. 認証フローを確認する

作成後、MyWebAppClient をクリックして詳細画面を開きます。

「認証フロー」セクションに ALLOW_USER_PASSWORD_AUTH が含まれていることを確認します。

含まれていない場合は「編集」→「ALLOW_USER_PASSWORD_AUTH」にチェック → 「変更を保存」。

ALLOW_USER_PASSWORD_AUTH とは:
CLI から username と password を直接指定して認証する「ユーザーパスワード認証」フローです。テスト用に有効化します(本番環境では SRP フローが推奨)。

控えておく情報(更新):

  • クライアント ID → 新しく作成した MyWebAppClient のクライアント ID を使う(① の MyWebApp のクライアント ID は使わない)

③ Lambda 関数を作成する

AWSコンソール → Lambda → 「関数の作成」

設定項目
作成方法 一から作成
関数名 CognitoApiFunction
ランタイム Python 3.12
アーキテクチャ x86_64
実行ロール 「基本的な Lambda アクセス権限で新しいロールを作成」(デフォルトのまま)

「関数の作成」をクリック。

コードの入力

関数ページ → 「コード」タブ → lambda_function.py を開いて既存の内容を全て置き換えて以下を貼り付けます。

import json


def lambda_handler(event, context):
    resource = event.get("resource", "/")  # API Gateway プロキシ統合: リクエストパスが "resource" に入る

    if resource == "/hello":
        return {
            "statusCode": 200,
            "headers": {"Content-Type": "application/json"},
            "body": json.dumps({"message": "Hello! This is a public endpoint."}),
        }

    if resource == "/profile":
        # event["requestContext"]["authorizer"]["claims"] に JWT ペイロードが格納される
        claims = (
            event.get("requestContext", {})
            .get("authorizer", {})
            .get("claims", {})
        )
        return {
            "statusCode": 200,
            "headers": {"Content-Type": "application/json"},
            "body": json.dumps(
                {
                    "message": "認証成功",
                    "email": claims.get("email"),
                    "sub": claims.get("sub"),          # Cognito が生成したユーザーの一意 ID
                    "token_use": claims.get("token_use"),  # "id" が返る(IDトークンを使っているため)
                },
                ensure_ascii=False,
            ),
        }

    return {
        "statusCode": 404,
        "headers": {"Content-Type": "application/json"},
        "body": json.dumps({"message": "Not Found"}),
    }

Deploy」ボタンをクリックしてコードを保存します。

Lambda 側で認証コードが不要な理由:
API Gateway の Cognito Authorizer が IDトークン(JWT)の検証をすべて担っています。Lambda が呼ばれた時点では認証済みであることが保証されており、検証済みの claims だけを受け取って使えばよい設計です。

④ API Gateway REST API を作成する

AWSコンソール → API Gateway → 「APIを作成」

4-1. API タイプの選択

「REST API」の「構築」をクリック。

設定項目
API タイプ REST API(「プライベート」ではない方)
新しい API の作成 「新しい API」
API 名 CognitoSampleApi
エンドポイントタイプ リージョン

APIを作成」をクリック。

4-2. リソース /hello を作成する

左のリソースツリーで /(ルート)を選択 → 「リソースを作成」ボタンをクリック

設定項目
リソースパス(親パス) /(変更不要)
リソース名 hello

新UIの注意点:
「リソースパス」はリソースを作成する親パスの選択/ = ルート配下という意味)です。/hello と入力する欄ではありません。「リソース名」に hello と入力するだけで OK です。

リソースを作成」をクリック。

/hello を選択した状態で → 「メソッドを作成」→ メソッドタイプ GET を選択

設定項目
統合タイプ Lambda 関数
Lambda プロキシ統合の使用 チェックする
Lambda 関数 CognitoApiFunction

「保存」→「OK」(Lambda 呼び出し権限の追加確認)。

4-3. リソース /profile を作成する

左のリソースツリーで /(ルート)を選択 → 「リソースを作成

設定項目
リソースパス(親パス) /(変更不要)
リソース名 profile

リソースを作成」をクリック。

/profile を選択した状態で → 「メソッドを作成」→ メソッドタイプ GET を選択

設定項目
統合タイプ Lambda 関数
Lambda プロキシ統合の使用 チェックする
Lambda 関数 CognitoApiFunction

「保存」をクリック。

4-4. Cognito Authorizer を作成する

左側メニューの「オーソライザー」→「オーソライザーを作成

設定項目
オーソライザー名 CognitoAuthorizer
オーソライザーのタイプ Cognito
Cognito ユーザープール(リージョン) ap-northeast-1(変更不要)
Cognito ユーザープール(検索欄) ① で作成した User Pool を選択(例: User pool - MyWebApp
トークンのソース Authorization必ず入力する
トークンの検証(オプション) 空欄のまま

新UIの注意点:
「トークンのソース」はデフォルトで空欄になっています。Authorization と入力しないと動作しません。入力を忘れると全リクエストが 401 になります。

オーソライザーを作成」をクリック。

動作確認:

「オーソライザーのテスト」→ テスト用トークン欄に適当な文字を入力 → 「テスト」→ 401 が返れば正常(正しいトークンがないため 401 が正解)。

4-5. /profile GET メソッドに Authorizer を設定する

左のリソースツリーで /profileGET を選択 → 「メソッドリクエストの設定」セクションの「編集」ボタンをクリック

「認可」ドロップダウンを開き、Cognito ユーザープールオーソライザー の配下にある CognitoAuthorizer を選択 → 「保存

新UIの注意点:
選択肢は なし / AWS IAM / Cognito ユーザープールオーソライザー(カテゴリ)→ CognitoAuthorizer の階層構造になっています。
CognitoAuthorizer はカテゴリ名ではなく、その下にインデントされた項目を選んでください。

ポイント:
/hello GET には Authorizer を設定しない(認証不要)。
/profile GET にのみ CognitoAuthorizer を設定することで、エンドポイントごとに認証要件を分けます。

4-6. API をデプロイする

「アクション」→「API のデプロイ」

設定項目
デプロイされるステージ 「新しいステージ」
ステージ名 Prod

「デプロイ」をクリック。

控えておく情報:

「Prod ステージエディター」に表示される URL の呼び出し(例: https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod)をコピーします。

⑤ テストユーザーを作成する

Cognito → 作成した User Pool → 左サイドバー「ユーザー管理」→「ユーザー」→「ユーザーを作成」

設定項目
招待メッセージ 「招待を送信しない」 を選択
E メールアドレス test@example.com
仮パスワード 「パスワードの設定」 を選択
パスワード TestPass1!

パスワードポリシー(新UIのデフォルト):
最小8文字 / 数字・小文字・大文字・特殊文字をそれぞれ1文字以上含むこと。
TestPass1 は特殊文字がないため不可。TestPass1! を使ってください。

ユーザーを作成」をクリック。

ユーザーの「確認ステータス」列に 「パスワードを強制的に変更」 と表示されます(= FORCE_CHANGE_PASSWORD 状態)。
この状態で initiate-auth を実行してもトークンが返らず NEW_PASSWORD_REQUIRED チャレンジが返されます。
次の CLI コマンドで永続パスワードを設定して「確認済み」(CONFIRMED)に変更します。

CLI で永続パスワードを設定する:

方法 A: CloudShell(コンソール版ハンズオンにおすすめ)

AWSコンソール画面下部の「CloudShell」をクリックして起動します。コンソールと同じ認証情報が自動で使われるため追加設定は不要。

aws cognito-idp admin-set-user-password \
  --user-pool-id ap-northeast-1_XXXXXXXX \
  --username test@example.com \
  --password 'TestPass1!' \
  --permanent \
  --region ap-northeast-1

CloudShell は Linux シェルのため \ で改行します。! を含むパスワードはシングルクォート '...' で囲んでください(ダブルクォートだと bash がエラーになる場合があります)。

方法 B: ローカルの AWS CLI(コマンドプロンプト)

aws cognito-idp admin-set-user-password ^
  --user-pool-id ap-northeast-1_XXXXXXXX ^
  --username test@example.com ^
  --password TestPass1! ^
  --permanent ^
  --region ap-northeast-1

ap-northeast-1_XXXXXXXX を ① で控えたユーザープール ID に置き換えてください。

コマンドが出力なしで返れば成功です。コンソールでユーザーの「確認ステータス」が**「確認済み」**に変わったことを確認してください。

⑥ 動作テスト

テスト1: 公開エンドポイント(/hello)→ 200

curl https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod/hello

期待するレスポンス:

{"message": "Hello! This is a public endpoint."}

テスト2: 未認証でプライベートエンドポイント(/profile)→ 401

curl https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod/profile

期待するレスポンス(API Gateway が返す。Lambda は呼ばれていない):

{"message": "Unauthorized"}

テスト3: IDトークンを取得する

aws cognito-idp initiate-auth ^
  --auth-flow USER_PASSWORD_AUTH ^
  --auth-parameters "USERNAME=test@example.com,PASSWORD=TestPass1!" ^
  --client-id XXXXXXXXXXXXXXXXXXXXXXXXXX ^
  --region ap-northeast-1

XXXXXXXXXXXXXXXXXXXXXXXXXX② で控えた MyWebAppClient のクライアント ID に置き換えてください(① の MyWebApp のクライアント ID ではありません)。

レスポンス例(抜粋):

{
    "AuthenticationResult": {
        "AccessToken": "eyJra...",
        "ExpiresIn": 3600,
        "TokenType": "Bearer",
        "RefreshToken": "eyJjb...",
        "IdToken": "eyJra..."
    }
}

IdToken の値をコピーしておきます(次のテストで使用)。

IdToken と AccessToken の違い:

トークン 用途 含まれる情報
IdToken ユーザー認証(今回使用) email / sub など
AccessToken Cognito API へのアクセス sub / scope など

API Gateway の Cognito Authorizer に渡すのは IdToken。AccessToken を渡しても 403 になります。

テスト4: 認証ありでプライベートエンドポイント(/profile)→ 200

IdToken は非常に長いため、変数に格納してから実行します。

方法 A: CloudShell(おすすめ)

TOKEN="eyJra...(IdToken全体を貼り付ける)"
curl -H "Authorization: $TOKEN" https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod/profile

方法 B: Windows CMD(変数使用)

set TOKEN=eyJra...(IdToken全体を貼り付ける)
curl -H "Authorization: %TOKEN%" https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod/profile

重要: CMD では変数展開に %TOKEN% を使います。$TOKEN(bash 構文)を CMD で使うと文字列 $TOKEN がそのまま送られ 401 になります。
また Bearer プレフィックスは不要です。raw JWT をそのまま Authorization ヘッダーに指定してください。

期待するレスポンス:

{
  "message": "認証成功",
  "email": "test@example.com",
  "sub": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "token_use": "id"
}

sub は Cognito が自動生成したユーザーの一意 ID です。
token_use: "id" は IDトークンを使っていることを示します。

⑦ リソースの削除

課金を止めるために、ハンズオン完了後は必ずリソースを削除してください。

1. API Gateway を削除する

API Gateway → APIs → CognitoSampleApi を選択 → 「アクション」→「APIの削除」

2. Lambda 関数を削除する

Lambda → 関数 → CognitoApiFunction を選択 → 「アクション」→「削除」

3. Cognito User Pool を削除する

Cognito → 作成した User Pool → 右上の「ユーザープールを削除」ボタン → ユーザープール名を入力 → 「削除」

ユーザーとアプリクライアントも一緒に削除されます。

4. IAM ロールを削除する(任意)

IAM → ロール → CognitoApiFunction-role-XXXX を検索して削除

5. CloudWatch Logs のロググループを削除する(任意)

CloudWatch → ロググループ → /aws/lambda/CognitoApiFunction → 削除

SAMとの対比

SAMの記述 コンソールでやること
AWS::Cognito::UserPool Cognito → 「アプリケーションを作成」で User Pool を作成
AWS::Cognito::UserPoolClient(シークレットなし) ② の手順で SPA タイプのクライアント MyWebAppClient を別途作成
Auth.DefaultAuthorizer: CognitoAuthorizer API Gateway → オーソライザーを作成して /profile GET に適用
Auth: Authorizer: NONE(/hello 側) /hello GET には Authorizer を設定しない
sam delete API Gateway / Lambda / Cognito / IAM ロール / ロググループを個別に削除

トラブルシューティング

症状 原因 対処
initiate-authClient is configured with secret but SECRET_HASH was not received ① で自動作成された MyWebApp(シークレットあり)のクライアント ID を使っている ② の手順で MyWebAppClient(シークレットなし)を作成し、そちらの Client ID を使う
initiate-authNotAuthorizedException ユーザーが FORCE_CHANGE_PASSWORD 状態 admin-set-user-password --permanent で CONFIRMED に変更する
initiate-authInvalidParameterException ALLOW_USER_PASSWORD_AUTH が無効 User Pool Client の認証フロー設定を確認する
/profile に IDトークンを送っても 401 Bearer TOKEN 形式で送っている Bearer を外し raw JWT(eyJra...)をそのまま Authorization ヘッダーに指定する
/profile に IDトークンを送っても 403 トークンが期限切れ(1時間で失効) initiate-auth で新しいトークンを取得し直す
/profile に IDトークンを送っても 403 AccessToken を使っている(IdToken ではない) AuthenticationResult.IdToken を使用しているか確認する
Lambda の claims が空 /profile GET に Authorizer が設定されていない ④ 4-5 の手順で CognitoAuthorizer を設定し直す
Lambda の resource/ になる Lambda プロキシ統合が有効になっていない GET メソッドで「Lambda プロキシ統合の使用」をチェックする
Authorizer テストが 500 になる User Pool が選択されていない、またはトークンのソースが空 オーソライザーの設定を確認し Authorization を入力し直す

まとめ

今回のハンズオンで体験できたこと:

確認項目 内容
Cognito User Pool ユーザー作成・JWT 発行・パスワードポリシーを新UIで設定
Cognito Authorizer API Gateway がIDトークンを自動検証 → Lambda は認証コード不要
エンドポイント別認証制御 /hello(認証なし)と /profile(認証必須)を同じ Lambda で分岐
FORCE_CHANGE_PASSWORD 対処 admin-set-user-password --permanent で CONFIRMED 状態に変更
新UI操作 「アプリケーションを作成」→ SPA クライアントの追加作成 → Authorizer のトークンソース設定

コンソール版とSAM版を比較してみる

コンソールでCognitoとAPI Gatewayの連携を理解したら、SAMで同じ構成をコードで定義することで「SAMが何を自動化しているか」が明確になります。DefaultAuthorizer によるワンライン認証設定や、ALLOW_USER_PASSWORD_AUTH の自動有効化など、コンソールでの手動操作がコードに対応しています。

関連記事

Amazon検索[本 AWS 開発]

The post AWSコンソールだけでCognito + API Gateway + Lambda の認証付きAPIを構築する手順【SAM版との比較付き / 新UI対応】 first appeared on CayTech Lab.

]]> https://caymezon.com/aws-handson-console-cognito-api-gateway-lambda/feed/ 0 AWSハンズオン - Cognito + API Gateway + Lambda で認証付きAPIをSAMで構築しよう【コンソール版との比較付き】 https://caymezon.com/aws-handson-cognito-api-gateway-lambda/ https://caymezon.com/aws-handson-cognito-api-gateway-lambda/#respond Sun, 01 Mar 2026 08:50:28 +0000 https://caymezon.com/?p=20235 目次 はじめにSAM vs コンソール:どれだけ違うかキーワード解説前提条件使用するAWSサービスStep 1: プロジェクトフォルダを開くフォルダ構造Step 2: SAMテンプレートの確認(template.yaml […]

The post AWSハンズオン - Cognito + API Gateway + Lambda で認証付きAPIをSAMで構築しよう【コンソール版との比較付き】 first appeared on CayTech Lab.

]]>
  1. はじめに
  2. SAM vs コンソール:どれだけ違うか
  3. キーワード解説
  4. 前提条件
  5. 使用するAWSサービス
  6. Step 1: プロジェクトフォルダを開く
    1. フォルダ構造
  7. Step 2: SAMテンプレートの確認(template.yaml)
    1. Cognito リソースの定義
    2. API Gateway と Cognito Authorizer の定義
    3. Lambda 関数とエンドポイントの定義
    4. template.yaml のポイント解説
  8. Step 3: Lambda コードの確認(src/app.py)
  9. Step 4: samconfig.toml を作成する
  10. Step 5: sam build(ビルド)
  11. Step 6: sam deploy(デプロイ)
    1. デプロイ完了の確認
    2. デプロイされるリソース一覧
  12. Step 7: 動作テスト
    1. 事前準備: 変数を設定する
    2. テスト1: テストユーザーを作成する
    3. テスト2: 公開エンドポイントのテスト(/hello)→ 200
    4. テスト3: 未認証でプライベートエンドポイント(/profile)→ 401
    5. テスト4: IDトークンを取得する
    6. テスト5: 認証ありでプライベートエンドポイント(/profile)→ 200
  13. Step 8: AWSコンソールで確認(任意)
  14. Step 9: リソースの削除
    1. 削除完了の確認
    2. sam delete で削除されるリソース一覧
  15. トラブルシューティング
  16. まとめ
    1. SAMのメリットを実感できたポイント
  17. コンソール版と比較してみる
  18. 関連記事

はじめに

「認証付きAPIの構成をコードで管理して、チームで再現できるようにしたい」——そんな要件に、AWS SAM(Serverless Application Model) は最適な選択肢のひとつです。

この記事では、AWS SAM を使って、Cognito + API Gateway + Lambda による認証付き REST API をゼロから構築するハンズオンを紹介します。

クライアント(curl)
  │
  ├─ GET /hello  → API Gateway(認証なし)→ Lambda → 200 OK
  │
  └─ GET /profile
        ├─ Authorization ヘッダーなし → API Gateway が 401 を返す
        └─ Authorization: <IDトークン>
              → Cognito Authorizer が JWT を検証(Lambda 不要)
              → Lambda → email / sub を返す → 200 OK

このハンズオンで体験できること:

  • AWS::Cognito::UserPoolAWS::Cognito::UserPoolClient の SAM 定義
  • DefaultAuthorizer を使ったエンドポイント単位の認証制御(1行で全エンドポイントに認証を適用)
  • Authorizer: NONE で特定エンドポイントだけ認証を除外するパターン
  • CLI でのテスト実行(ユーザー作成 → IDトークン取得 → 認証済みリクエスト)

このハンズオンの特徴:

  • sam build + sam deploy2コマンドで全リソースをデプロイ
  • Cognito User Pool / User Pool Client / API Gateway / Lambda / IAM ロールを template.yaml 1ファイルで管理
  • sam delete全リソースを一括削除(コンソール版では各リソースを個別に削除する必要がある)

Amazon検索[本 AWS 開発]

SAM vs コンソール:どれだけ違うか

比較項目 SAM(コード) コンソール(手動)
Cognito Client 作成 GenerateSecret: false の1行でシークレットなしクライアントを定義 新UIで「SPA」タイプのクライアントを別途手動作成
Authorizer の紐付け UserPoolArn: !GetAtt UserPool.Arn で自動連携 コンソールで User Pool を手動選択し、トークンのソースを手入力
エンドポイント別認証 DefaultAuthorizer + 除外箇所に Authorizer: NONE エンドポイントごとにオーソライザーを手動設定
削除 sam delete 1コマンド API Gateway / Lambda / Cognito / IAM を個別に削除
再現性 チームで同じ環境を即座に再現できる 手順書が必要

キーワード解説

用語 意味
User Pool Cognito のユーザーディレクトリ。ユーザー登録・認証・JWT 発行を担う
User Pool Client アプリが User Pool に接続するための設定。Client ID を持つ
IDトークン ログイン成功時に Cognito が発行する JWT。email / sub などのユーザー情報を含む
Cognito Authorizer API Gateway が IDトークンを検証する認可機能。Lambda コードが不要で動作する
claims JWT ペイロードに含まれる情報(email / sub / token_use など)
DefaultAuthorizer 全エンドポイントに一括でオーソライザーを適用する SAM の設定。個別に Authorizer: NONE で除外できる

前提条件

ツール 確認コマンド 最低バージョン目安
AWS CLI v2 aws --version 2.x
AWS SAM CLI sam --version 1.x
Python 3.12 python --version 3.12 
aws sts get-caller-identity

アカウントIDが表示されれば認証設定済みです。

使用するAWSサービス

サービス 役割 料金
Amazon Cognito ユーザー管理・認証・JWT発行 月5万MAUまで無料
API Gateway REST API のエンドポイント管理・認可 月100万リクエストまで無料(無料期間12ヶ月)
Lambda APIのビジネスロジック(1関数) 月100万リクエスト・400,000 GB-秒まで無料
IAM Lambda の実行権限管理 無料
S3 SAM デプロイパッケージ置き場 少量のため実質無料
CloudWatch Logs Lambda の実行ログ 月5GBまで無料

Step 1: プロジェクトフォルダを開く

cd C:\my-aws\aws-learning-projects\cognito-api-lambda

フォルダ構造

cognito-api-lambda/
├── template.yaml       # SAMテンプレート(Cognito + API Gateway + Lambda 定義)
├── samconfig.toml      # デプロイ設定(gitignore 対象・毎回手動作成が必要)
├── docs/
│   ├── 1_console.md    # AWSコンソール版手順
│   └── 2_sam.md        # SAM版手順
└── src/
    └── app.py          # Lambda 関数(/hello と /profile を処理)

Step 2: SAMテンプレートの確認(template.yaml)

template.yaml は全 AWSリソースの設計図です。ポイントを確認しておきます。

Cognito リソースの定義

Resources:
  UserPool:
    Type: AWS::Cognito::UserPool
    Properties:
      UsernameAttributes: [email]     # メールアドレスでログイン
      Policies:
        PasswordPolicy:
          MinimumLength: 8            # 記号・大文字不要(テスト用に緩和)

  # アプリクライアント: CLI から initiate-auth で使う
  UserPoolClient:
    Type: AWS::Cognito::UserPoolClient
    Properties:
      GenerateSecret: false           # シークレットなし(CLI テスト用)
      ExplicitAuthFlows:
        - ALLOW_USER_PASSWORD_AUTH    # username/password で直接認証(テスト用)
        - ALLOW_REFRESH_TOKEN_AUTH

API Gateway と Cognito Authorizer の定義

  MyApi:
    Type: AWS::Serverless::Api
    Properties:
      StageName: Prod
      Auth:
        # DefaultAuthorizer を指定 → 全エンドポイントにデフォルトで認証が必要になる
        DefaultAuthorizer: CognitoAuthorizer
        Authorizers:
          CognitoAuthorizer:
            UserPoolArn: !GetAtt UserPool.Arn  # User Pool と自動的に紐付け
            Identity:
              Header: Authorization            # JWT を Authorization ヘッダーで受け取る

Lambda 関数とエンドポイントの定義

  ApiFunction:
    Type: AWS::Serverless::Function
    Properties:
      Events:
        PublicEndpoint:              # /hello: 公開エンドポイント
          Type: Api
          Properties:
            Path: /hello
            Method: get
            Auth:
              Authorizer: NONE       # DefaultAuthorizer を明示的に無効化

        PrivateEndpoint:             # /profile: 認証必須
          Type: Api
          Properties:
            Path: /profile
            Method: get
            # Auth 指定なし → DefaultAuthorizer(CognitoAuthorizer)が自動適用

template.yaml のポイント解説

ポイント 説明
GenerateSecret: false CLI テスト用にシークレットなしのクライアントを定義。コンソール版では SPA タイプのクライアントを手動作成
DefaultAuthorizer 全エンドポイントに Cognito 認証をデフォルト適用。コンソール版ではエンドポイントごとに手動設定
Authorizer: NONE /hello など特定エンドポイントの認証を除外。コンソール版では /hello に Authorizer を設定しないことに対応
UserPoolArn: !GetAtt UserPool.Arn Cognito Authorizer と User Pool を自動的に紐付け。コンソール版では手動でドロップダウン選択が必要

Step 3: Lambda コードの確認(src/app.py)

src/app.py の構造を把握しておきます。

import json


def lambda_handler(event, context):
    resource = event.get("resource", "/")   # API Gateway プロキシ統合: リクエストパスが入る

    if resource == "/hello":
        return {"statusCode": 200, "body": json.dumps({"message": "Hello! This is a public endpoint."})}

    if resource == "/profile":
        # Cognito Authorizer が JWT を検証済み
        # JWT ペイロードが event["requestContext"]["authorizer"]["claims"] に格納される
        claims = (
            event.get("requestContext", {})
            .get("authorizer", {})
            .get("claims", {})
        )
        return {
            "statusCode": 200,
            "headers": {"Content-Type": "application/json"},
            "body": json.dumps(
                {
                    "message": "認証成功",
                    "email": claims.get("email"),
                    "sub": claims.get("sub"),          # Cognito が生成したユーザーの一意 ID
                    "token_use": claims.get("token_use"),  # "id" が返る(IDトークンを使っているため)
                },
                ensure_ascii=False,
            ),
        }

    return {"statusCode": 404, "body": json.dumps({"message": "Not Found"})}

app.py のポイント:

  • Lambda 側でトークン検証は一切不要。Cognito Authorizer が自動で行う
  • claims には email / sub / token_use など JWT ペイロードの全フィールドが格納される
  • /hello への呼び出しでは claims は空(Authorizer が動作しないため)

各コードの全文はコンソール版記事を参照してください。
SAM版・コンソール版で使用する Lambda コードは共通です。コンソール版では手順とあわせてコードを全文掲載しています。

AWSコンソールだけでCognito + API Gateway + Lambda の認証付きAPIを構築する手順

Step 4: samconfig.toml を作成する

samconfig.toml.gitignore で管理外のため、毎回手動で作成する必要があります。

cognito-api-lambda/samconfig.toml を新規作成して以下を貼り付けます。

version = 0.1

[default.deploy.parameters]
stack_name = "cognito-api-lambda-stack"
resolve_s3 = true
s3_prefix = "cognito-api-lambda-stack"
region = "ap-northeast-1"
confirm_changeset = true
capabilities = "CAPABILITY_IAM"
disable_rollback = true
image_repositories = []

[default.global.parameters]
region = "ap-northeast-1"

samconfig.toml の置き場所:
cognito-api-lambda/ フォルダの直下に置く必要があります。

Step 5: sam build(ビルド)

cd C:\my-aws\aws-learning-projects\cognito-api-lambda
sam build

成功すると以下のように表示されます。

Build Succeeded

Built Artifacts  : .aws-sam/build
Built Template   : .aws-sam/build/template.yaml

sam build が行っていること:

  • src/ フォルダを ZIP パッケージ化して .aws-sam/build/ に配置
  • template.yaml.aws-sam/build/template.yaml にコピー
  • Lambda デプロイの準備を整える

Step 6: sam deploy(デプロイ)

sam deploy

変更内容が表示されて確認を求められます。

Deploy this changeset? [y/N]: y

y を入力して進めます。数分でデプロイが完了します。

デプロイ完了の確認

ターミナルに Outputs が表示されます。

Outputs
----------------------------------------------------------------------
Key    ApiUrl
Value  https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod

Key    UserPoolId
Value  ap-northeast-1_XXXXXXXX

Key    UserPoolClientId
Value  XXXXXXXXXXXXXXXXXXXXXXXXXX
----------------------------------------------------------------------

3つの値を全て控えておきます。(テスト実行コマンドで使用)

デプロイされるリソース一覧

Cognito User Pool × 1              : cognito-api-lambda-stack-user-pool
Cognito User Pool Client × 1       : シークレットなし(ALLOW_USER_PASSWORD_AUTH 有効)
API Gateway REST API × 1           : cognito-api-lambda-stack + Prod ステージ
Lambda 関数 × 1                    : cognito-api-lambda-stack-ApiFunction-XXXX
IAM ロール × 1                     : Lambda 実行ロール
S3                                 : SAM デプロイパッケージ
CloudWatch Logs                    : Lambda 自動生成ログ × 1

Step 7: 動作テスト

事前準備: 変数を設定する

set API_URL=https://XXXXXXXXXX.execute-api.ap-northeast-1.amazonaws.com/Prod
set USER_POOL_ID=ap-northeast-1_XXXXXXXX
set CLIENT_ID=XXXXXXXXXXXXXXXXXXXXXXXXXX

テスト1: テストユーザーを作成する

aws cognito-idp admin-create-user ^
  --user-pool-id %USER_POOL_ID% ^
  --username test@example.com ^
  --region ap-northeast-1

ユーザーが FORCE_CHANGE_PASSWORD 状態で作成されます。次のコマンドで永続パスワードを設定して CONFIRMED 状態にします。

aws cognito-idp admin-set-user-password ^
  --user-pool-id %USER_POOL_ID% ^
  --username test@example.com ^
  --password TestPass1 ^
  --permanent ^
  --region ap-northeast-1

レスポンスなし(エラーが出なければ成功)。

FORCE_CHANGE_PASSWORD 状態とは:
Cognito で管理者が作成したユーザーの初期状態です。この状態で initiate-auth を実行すると NEW_PASSWORD_REQUIRED チャレンジが返されてトークンが取得できません。--permanent フラグを付けて admin-set-user-password を実行することで CONFIRMED(認証済み)状態に変えられます。

テスト2: 公開エンドポイントのテスト(/hello)→ 200

curl %API_URL%/hello

期待するレスポンス:

{"message": "Hello! This is a public endpoint."}

テスト3: 未認証でプライベートエンドポイント(/profile)→ 401

curl %API_URL%/profile

期待するレスポンス(API Gateway が返す。Lambda は呼ばれていない):

{"message": "Unauthorized"}

テスト4: IDトークンを取得する

aws cognito-idp initiate-auth ^
  --auth-flow USER_PASSWORD_AUTH ^
  --auth-parameters "USERNAME=test@example.com,PASSWORD=TestPass1" ^
  --client-id %CLIENT_ID% ^
  --region ap-northeast-1

レスポンス例(抜粋):

{
    "AuthenticationResult": {
        "IdToken": "eyJra...",
        "AccessToken": "eyJra...",
        "RefreshToken": "eyJjb...",
        "ExpiresIn": 3600,
        "TokenType": "Bearer"
    }
}

IdToken の値をコピーします(次のテストで使用)。

IdToken と AccessToken の違い:

トークン 用途 JWT ペイロード
IdToken ユーザー認証(今回使用) email / sub など
AccessToken Cognito API へのアクセス sub / scope など

API Gateway の Cognito Authorizer に渡すのは IdToken。AccessToken を渡すと 403 になります。

テスト5: 認証ありでプライベートエンドポイント(/profile)→ 200

set ID_TOKEN=eyJra...(上記で取得した IdToken の値)
curl -H "Authorization: %ID_TOKEN%" %API_URL%/profile

重要: Bearer プレフィックスは不要です。raw JWT(eyJra...)をそのまま Authorization ヘッダーに指定してください。

期待するレスポンス:

{
  "message": "認証成功",
  "email": "test@example.com",
  "sub": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "token_use": "id"
}

Step 8: AWSコンソールで確認(任意)

SAM でデプロイしたリソースはコンソールでも確認できます。

  • API Gateway: APIs → cognito-api-lambda-stack → オーソライザー → CognitoAuthorizer が作成されていることを確認
  • Cognito: ユーザープール → 作成された User Pool → ユーザー一覧で test@example.com が「確認済み」になっていることを確認
  • Lambda: Lambda → 関数 → cognito-api-lambda-stack-ApiFunction-XXXX → 「モニタリング」タブ → テスト5実行後に呼び出し回数が増加していることを確認

Step 9: リソースの削除

課金を止めるために、ハンズオン完了後は必ずリソースを削除してください。

sam delete --stack-name cognito-api-lambda-stack --region ap-northeast-1

対話式で確認が入ります。両方 y で進めます。

Are you sure you want to delete the stack cognito-api-lambda-stack? [y/N]: y
Are you sure you want to delete the folder cognito-api-lambda-stack in S3? [y/N]: y

削除完了の確認

aws cloudformation describe-stacks --stack-name cognito-api-lambda-stack --region ap-northeast-1
An error occurred (ValidationError): Stack with id cognito-api-lambda-stack does not exist

このメッセージが表示されれば削除完了です。

sam delete で削除されるリソース一覧

リソース
Cognito User Pool(ユーザーデータも削除される) × 1
Cognito User Pool Client × 1
API Gateway REST API(ステージ含む) × 1
Lambda 関数 × 1
IAM ロール × 1
Lambda デプロイパッケージ(S3) × 1
CloudWatch Logs ロググループ × 1

コンソール版との大きな違い(SAMのメリット):
コンソール版では API Gateway / Lambda / Cognito / IAM ロール / ロググループを個別に削除する必要があります。
SAMでは sam delete 1コマンドで全リソースを一括削除できます。

トラブルシューティング

症状 原因 対処
sam build が失敗する src/app.py が存在しない src/ フォルダに app.py があるか確認
sam deployCAPABILITY_IAM エラー samconfig.toml の設定漏れ capabilities = "CAPABILITY_IAM" が含まれているか確認
sam deployMissing --stack-name エラー samconfig.toml がない、または場所が違う cognito-api-lambda/ 直下に samconfig.toml を作成する
initiate-authNotAuthorizedException: Incorrect username or password ユーザーが FORCE_CHANGE_PASSWORD 状態 admin-set-user-password --permanent で CONFIRMED にする
initiate-authInvalidParameterException ALLOW_USER_PASSWORD_AUTH が無効 sam deployUserPoolClient が正しく作成されているか確認
/profile に IDトークンを送っても 401 Bearer TOKEN 形式で送っている raw JWT(eyJra...)をそのまま Authorization ヘッダーに指定する
/profile に IDトークンを送っても 403 IDトークンが期限切れ(1時間で失効) initiate-auth で新しいトークンを取得し直す
/profile に IDトークンを送っても 403 AccessToken を使っている(IdToken ではない) AuthenticationResult.IdToken を使用しているか確認
Lambda の claims が空 AccessToken を使っている IdToken を Authorization ヘッダーに指定する
テストで executionArn が同じ名前で失敗する admin-create-userUsernameExistsException すでに作成済みのためスキップして問題なし

まとめ

今回のハンズオンで実現したこと:

確認項目 内容
SAM での Cognito 定義 UserPool + UserPoolClient(シークレットなし)を template.yaml で管理
DefaultAuthorizer 全エンドポイントに Cognito 認証を一括適用。Authorizer: NONE で /hello を除外
JWT 認証フロー CLI で IDトークンを取得 → Authorization ヘッダーに指定 → claims を返す
一括削除 sam delete で Cognito / API Gateway / Lambda を全てクリーンアップ

SAMのメリットを実感できたポイント

  • GenerateSecret: false + ExplicitAuthFlows でシークレットなしクライアントを定義(コンソール版では SPA タイプのクライアントを別途手動作成)
  • DefaultAuthorizer の1行で全エンドポイントに Cognito 認証を適用(コンソール版では各エンドポイントに手動設定)
  • UserPoolArn: !GetAtt UserPool.Arn で Cognito Authorizer と User Pool を自動連携(コンソール版では手動選択 + トークンのソースを手入力)

コンソール版と比較してみる

SAMが裏で何をやっているか、同じ構成をAWSコンソールのみで構築する手順をまとめました。Cognitoの新UIで変わった操作(「アプリケーションを作成」からのウィザード、シークレットなしクライアントの作成方法、Authorizer のトークンソース設定)など、コンソール版ならではのつまずきポイントを解説しています。

関連記事

Amazon検索[本 AWS 開発]

The post AWSハンズオン - Cognito + API Gateway + Lambda で認証付きAPIをSAMで構築しよう【コンソール版との比較付き】 first appeared on CayTech Lab.

]]> https://caymezon.com/aws-handson-cognito-api-gateway-lambda/feed/ 0