3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

TerraformでFCM Webプッシュ通知の環境を構築する

Last updated at Posted at 2024-02-19

はじめに

FCM(FirebaseCloudMessaging)でWebプッシュ通知を送信する環境をTerraformで構築しました。

  • 通知受取側:PWA(Nuxt3)
  • 通知送信側:AWS Lambda(Python)

Pythonから送信するので、FirebaseAdminSDKも使えるようにします。
バックエンドは私の場合はLambdaですが、他の場合でもFCMの環境作成自体は同じです。

コンソールから構築する記事はたくさんあったのですが、Terraformでの実装例が全然ないのと、普段AWSを主に使っているのでGCPの理解が足りず割と苦労しました。

FirebaseとTerraformの公式ドキュメントを参考にしています。

コンソールから作る場合の参考

実行環境

  • macOS Ventura 13.2.1
  • Terraform v1.5.4
  • Google Cloud SDK 464.0.0
  • bq 2.0.101
  • core 2024.02.09
  • gcloud-crc32c 1.0.0
  • gsutil 5.27

Google Cloud SDK以下はgcloud-cliをインストールしたら一緒に入ってきたツール達です。

gcloud-cliの認証

Terraformからリソースを作成するにあたり、作成対象のGoogleアカウントの認証をgcloud-cliで行う必要があります。

ここで初めて知ったのですが、GCPを扱う上ではユーザの種類がユーザアカウントとサービスアカウントの2種類あるようです。
今回のようにCLIから使う場合は、サービスアカウントで認証する方がTerraform Workspaceでディレクトリごとに違う環境にデプロイする時などに良いんだろうなあと思います。

が、今回はWorkspaceを使ってないのでユーザアカウントで認証します。

作成対象のアカウントが1つしかない場合はgcloud auth loginコマンドで対話形式で設定していくのが良いと思います。
私はaws-cliのプロファイルのように実行時にプロファイルを切り替えたかったので、以下のコマンドで設定しました。

gcloud config configurations create <config名> #configの作成
gcloud config configurations activate <config名> #configの切り替え
gcloud config set core/account <Googleアカウントのアドレス> #対象のアカウントをセット
gcloud config set core/disable_usage_reporting False #とりあえずFalse
gcloud auth login # ブラウザが開くのでログインする

他にも設定値があるのでドキュメントを見てください。

コード

Terraformの公式ドキュメントとにらめっこしながら作成したコードがこちらです。
ドキュメントそのままの部分が多いですが、コンソールから作成したリソースとTerraformのリソース名がどう対応するのかわからなかったんですよね。

localvarでローカル変数を参照しているところは適宜任意の名前に書き換えてください。

main.tf

terraform {
  required_providers {
    google-beta = {
      source  = "hashicorp/google-beta"
      version = "5.16.0"
    }
  }
}

# 新規でプロジェクトを作成するときはuser_project_overrideをfalseにする
provider "google-beta" {
  alias                 = "no_user_project_override"
  user_project_override = false
}

どうでもいいですがbetaがついていることに驚きです。

GCPプロジェクトとFirebaseプロジェクトの作成

resource "google_project" "project" {
  provider = google-beta.no_user_project_override

  name        = local.project_name
  project_id  = local.project_id
  skip_delete = true

  labels = {
    "firebase" = "enabled"
  }
}

resource "google_firebase_project" "firebase_project" {
  provider = google-beta.no_user_project_override
  project  = google_project.project.project_id
}

AdminSDK操作用のサービスアカウントの作成

PythonからAdminSDKを操作するためのサービスアカウントと、アクセス用のキーペアを作成します。

resource "google_service_account" "fb_admin_sdk" {
  provider     = google-beta.no_user_project_override
  project      = google_project.project.project_id
  account_id   = local.fb_admin_sdk_account_id
  display_name = local.fb_admin_sdk_account_id
}

resource "google_project_iam_binding" "fb_admin_sdk_service_agent" {
  provider = google-beta.no_user_project_override
  project  = google_project.project.project_id
  role     = "roles/firebase.sdkAdminServiceAgent"

  members = [
    "serviceAccount:${google_service_account.fb_admin_sdk.email}",
  ]
}

resource "google_project_iam_binding" "fb_admin_sdk_token_creator" {
  provider = google-beta.no_user_project_override
  project  = google_project.project.project_id
  role     = "roles/iam.serviceAccountTokenCreator"

  members = [
    "serviceAccount:${google_service_account.fb_admin_sdk.email}",
  ]
}

resource "google_service_account_key" "firebase_admin_sdk_key" {
  provider           = google-beta.no_user_project_override
  service_account_id = google_service_account.fb_admin_sdk.name
  private_key_type   = "TYPE_GOOGLE_CREDENTIALS_FILE"
}

locals {
  decoded_private_key = jsondecode(base64decode(google_service_account_key.firebase_admin_sdk_key.private_key))
}


google_service_account_keyで作成したキーの内容を別moduleで作成しているLambdaの環境変数として渡したかったので、bese64decodejsondecodeでlocalsブロックで読み込んでいます。
参照するときはlocal.decoded_private_key.private_key_idの形式でjsonのキーごとに参照できます。
コンソールから作成すると下の形式のjsonファイルでダウンロードされる内容です。

{
  "type": "service_account",
  "project_id": *****",
  "private_key_id": "*****",
  "private_key": "*****",
  "client_email": "*****",
  "client_id": "*****",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "*****",
  "universe_domain": "googleapis.com"
}

この作成した鍵の内容の読み取り方がわからず苦労しました。

google_project_iam_bindingでサービスアカウントにロールをアタッチしています。
firebaseのプロジェクト作成時に自動でAdminSDK用のサービスアカウントが作成されるのですが、それと同じロールにしています。

WEBプッシュ用アプリの作成

今回はWEBプッシュ通知がしたいので、WEBアプリを作成します。

resource "google_firebase_web_app" "fb_web_app" {
  provider     = google-beta.no_user_project_override
  project      = google_project.project.project_id
  display_name = local.fb_web_app_display_name
}

data "google_firebase_web_app_config" "fb_web_app_config" {
  provider   = google-beta.no_user_project_override
  project    = google_project.project.project_id
  web_app_id = google_firebase_web_app.fb_web_app.app_id
}

通知受取側のコードでapiKey等のfirebaseの設定情報が必要になります。
値を参照するときはdata.google_firebase_web_app_config.fb_web_app_config.api_keyのようにdataリソースから参照します。

ウェブプッシュ証明書の作成

これだけTerraformで対応してなかった(見つからなかった)ので、GUIから作成します。

作成された公開鍵は通知受け取り側(PWA)の方で使います。

以上でリソースの作成は終了です。

通知送信側、受取側の詳しいコードははじめに記載した公式ドキュメントに載っているので、そちらを参考にしてください。

最後に

IaC大好きなので、なんでもコード化したくなります。
TerraformでFCM環境を作りたい方の参考になれば幸いです。

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?