今回の内容
前回からの続きで、3回目となります。(長くなってスミマセン・・・)
これまでの2回でプラットフォームへデータが送信できることを確認できましたので、今回と次回の2回に渡ってデバイスに取り付けたセンサーで取得したデータを、Amazon S3に保存するところまでやってみたいと思います。
トポロジ
アプリケーションサーバ側は下図のように、API Gateway、Kinessis Firehose(以下、Firehose)、S3を使って構築します。
AWS側の準備
クラスメソッドさんが解りやすい情報を公開していましたので、その情報にある「AWSサービスプロキシ」方式に倣って設定してみます。
尚、クラスメソッドさんが情報を公開した時点では、東京リージョンでのFirehose利用はできませんでしたが、現在は利用できますので、AWS側は全て東京リージョンで構成することにしました。
Firehose
AWSマネジメントコンソールから
Kinesisを開き、次にFirehoseコンソールに移動をクリック
Create Delivery Streamをクリック
Delivery stream nameに任意のストリーム名を入力、SourceにDirect PUT or other sourcesが選択されていることを確認し、ページ下部のNextをクリック
Record transformationにDisabledが選択されていることを確認し、Nextをクリック
DestinationにAmazon S3を選択、S3 bucketは任意のバケット(既存、またはCreate newをクリックして新しいバケットを作成)を選択し、Nextをクリック
Buffer intervalを60に変更し、IAM roleにあるCreate new, or Chooseボタンをクリック
別ページが新たに開くので、
IAMロールは新しいIAMロールの作成のまま、ロール名に任意の名称を入力し、許可をクリック
IAMロールページが閉じて元のページに戻るので、
IAM roleに上記で作成したロール名が表示されていることを確認し、Nextをクリック
ここまでの操作で設定した内容が表示されるので、内容を確認して
Create delivery streamをクリック
S3 Delivery Streams一覧に、作成したストリームが表示される
以上の手順で、FirehoseがS3を操作するためのIAM Roleと、Firehoseストリーム、S3バケット(新規作成した場合)が作成されます。
またFirehoseストリームに対して、次のようなIAM Role(lorawan_delivery_role)が作成されています。
信頼関係(Trust Relationships)
Firehose に対し、AssumeRoleすることを許可するポリシードキュメント
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "firehose.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "<アカウントID>"
}
}
}
]
}
アクセス権限(Permissions)
S3やAmazon Lambda、Logs、Kinesisに対して、操作を許可するインラインポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::<バケット名>",
"arn:aws:s3:::<バケット名>/*",
"arn:aws:s3:::%FIREHOSE_BUCKET_NAME%",
"arn:aws:s3:::%FIREHOSE_BUCKET_NAME%/*"
]
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": "arn:aws:lambda:ap-northeast-1:<アカウントID>:function:%FIREHOSE_DEFAULT_FUNCTION%:%FIREHOSE_DEFAULT_VERSION%"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:ap-northeast-1:<アカウントID>:log-group:/aws/kinesisfirehose/lorawan:log-stream:*"
]
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:GetShardIterator",
"kinesis:GetRecords"
],
"Resource": "arn:aws:kinesis:ap-northeast-1:<アカウントID>:stream/%FIREHOSE_STREAM_NAME%"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:region:accountid:key/%SSE_KEY_ARN%"
],
"Condition": {
"StringEquals": {
"kms:ViaService": "kinesis.%REGION_NAME%.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:kinesis:arn": "arn:aws:kinesis:%REGION_NAME%:<アカウントID>:stream/%FIREHOSE_STREAM_NAME%"
}
}
}
]
}
API Gateway向けIAMロール作成
API Gatewayのメソッド作成時に指定するIAMロールを、新たに作成します。
今回はfirehose_for_lorawanという名前で作成しました。
信頼関係(Trust Relationships)
API GatewayがAssumeRoleすることを許可するポリシードキュメント
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "apigateway.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
アクセス権限(Permissions)
Firehoseにデータレコードを書き込むAPI(PutRecord、PutRecordBatch)を許可するインラインポリシー
- PutRecord
- 単一のデータレコードをストリームに書き込む
- PutRecordBatch
- 1回の呼出しで複数のデータレコードをストリームに書き込む
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": [
"*"
]
}
]
}
API Gateway作成
AWSマネジメントコンソールから
API Gatewayを開き、APIの作成をクリック、更に新しいAPIを選択し、API名に任意の名称を入力してAPIの作成をクリック
アクションをクリックし、リソースの作成をクリック
リソース名に
apiを入力し、リソースの作成をクリック(リソースパスは、デフォルトでリソース名と同一文字が自動入力される)
上記2~3と同様に、リソース
apiの下にリソースv1を作成
アクションをクリックし、メソッドの作成をクリック
ドロップダウンから
POSTを選択し、確定アイコンをクリック
-
下図に従って必要な値を入力し、
保存をクリック
項目 設定値 統合タイプ AWSサービス AWSリージョン Firehoseを作成したリージョン ※今回は東京リージョンなので ap-northeast-1AWSサービス Firehose HTTPメソッド POST アクション PutRecord 実行ロール API Gateway向けIAMロール( firehose_for_lorawan) メソッドの実行ページに遷移するので、統合リクエストをクリック
本文マッピングテンプレートをクリックして展開し、リクエストが定義されていない場合を選択、更にマッピングテンプレートの追加をクリックし、Content-Typeにapplication/jsonと入力して確定アイコンをクリック
-
テンプレートの生成欄が表示されるので、以下のコードを入力し、保存ボタンをクリック{ "DeliveryStreamName": "lorawan_stream", "Record": { "Data": "$util.base64Encode($input.json('$.DevEUI_uplink'))" } }
[補足] マッピングテンプレートについて
公式ドキュメントを確認すると、Firehoseに単一のデータレコードを書き込むPutRecordAPIは、次のフォーマットになります。{ "DeliveryStreamName": "string", "Record": { "Data": blob } }また、LoRaWANプラットフォーム(ThingPark)からAPI GatewayにPOST送信されるJSONオブジェクトは、次のようなフォーマットです。
{ "DevEUI_uplink": { "Time": "2017-11-02T08:48:47.595+01:00", "DevEUI": "47XXXXXXXXXXXXXX", "FPort": "8", "FCntUp": "35", "ADRbit": "1", "MType": "4", "FCntDn": "40", "payload_hex": "1b1083202fd06b8c5410350c16b5", "mic_hex": "41293adb", "Lrcid": "01234567", "LrrRSSI": "-116.000000", "LrrSNR": "-5.000000", "SpFact": "9", "SubBand": "G0", "Channel": "LC4", "DevLrrCnt": "1", "Lrrid": "65XXXXXX", "Late": "0", "LrrLAT": "33.588463", "LrrLON": "130.397446", "Lrrs": { "Lrr": [ { "Lrrid": "65XXXXXX", "Chain": "0", "LrrRSSI": "-116.000000", "LrrSNR": "-5.000000", "LrrESP": "-122.193314" } ] }, "CustomerID": "100008500", "CustomerData": { "alr": { "pro": "LORA/Generic", "ver": "1" } }, "ModelCfg": "0", "DevAddr": "01XXXXXX" } }つまり、プラットフォームから送られてくるJSONオブジェクトの最上位メンバー
DevEUI_uplinkを、PutRecord APIのDataメンバーにマッピングするすることで、DevEUI_uplinkメンバー内のデータを、Firehoseストリームに書き込む仕組みとなっています。
更に、PutRecord APIのDataメンバーの値(上記APIフォーマットのblob)は、Base64でエンコードする必要があるため、組み込み関数base64Encode()を利用しています。
マッピングテンプレートのその他組み込み関数については、こちらに詳しく説明があります。
ここまでの手順で、AWS側の設定作業は完了です。
API Gatewayテスト
以下の手順で、API Gatewayのテストを行ってみます。
(背後でFirehoseストリームと連動していますので、実質AWS側の統合テストになります)
ページ上部にスクロールし、
メソッドの実行をクリック
テストをクリック
-
リクエスト本文に以下のJSONコードを入力し、テストをクリック{ "DevEUI_uplink" : "Fukuoka City LoRaWAN" }
(レスポンスの)
ステータスが200になっているか確認
※ステータスが200でない場合、表示されているログからエラー内容を確認できます。
-
S3バケットを確認し、データを確認
バケットに保存されたデータの中身"Fukuoka City LoRaWAN"
API Gatewayデプロイ
以下の手順で、作成したAPIをユーザーが呼び出せるようにデプロイします。
アクションをクリックし、APIのデプロイをクリック
デプロイされるステージに新しいステージを選択、ステージ名に任意の名称を入力(今回はprod)してデプロイをクリック
ステージエディタが表示されればデプロイ完了
尚、URLの呼び出しに記載されたURLに続けてリソースパスを指定したアドレス(今回の場合、https://xxxxxxxxxx.execute-api.ap-northeast-1.amazonaws.com/prod/api/vi)が、プラットフォーム側で設定するアプリケーションサーバのアドレスになります。(=>前回のアプリケーションサーバの登録を参照)
次回
LoRaWANデバイスにセンサーを取り付け、送信してみます。