Lambda SnapStart での一意性の取り扱い - AWS Lambda
一意性に依存する状態を初期化中に保存しないCSPRNG を使用するスキャンツール

Lambda SnapStart での一意性の取り扱い

SnapStart 関数での呼び出しがスケールアップすると、Lambda は単一の初期化されたスナップショットを使用して、複数の実行環境を再開します。スナップショットに包含される一意のコンテンツを初期化コードが生成する場合、そのコンテンツは、複数の実行環境で再利用されるときに一意にならない可能性があります。SnapStart の使用時に一意性を維持するには、初期化後に一意のコンテンツを生成する必要があります。これには、一意の ID、一意のシークレット、および疑似ランダム性を生成するために使用されるエントロピーが含まれます。

コードで一意性を維持できるように、以下のベストプラクティスをお勧めします。Lambda は、一意性を前提とするコードのチェックに役立つ、オープンソースの SnapStart スキャンツールも提供します。初期化フェーズ中に一意のデータを生成する場合は、ランタイムフックを使用して一意性を復元することができます。ランタイムフックを使用すると、Lambda がスナップショットを取得する直前、または Lambda がスナップショットから関数を再開した直後に、特定のコードを実行できます。

一意性に依存する状態を初期化中に保存しない

関数の初期化フェーズ中は、ロギング用の一意の ID の生成など、一意であることが意図されたデータをキャッシュしないでください。その代わりに、関数ハンドラー内で一意のデータを生成する、またはランタイムフックを使用することをお勧めします。

例 – 関数ハンドラーでの一意の ID の生成

以下は、関数ハンドラーで UUID を生成する方法を示す例です。

import java.util.UUID;
  public class Handler implements RequestHandler<String, String> {
    private static UUID uniqueSandboxId = null;
    @Override
    public String handleRequest(String event, Context context) {
      if (uniqueSandboxId == null)
        uniqueSandboxId = UUID.randomUUID();
      System.out.println("Unique Sandbox Id: " + uniqueSandboxId);
      return "Hello, World!";
    }
  }

暗号論的擬似乱数生成器 (CSPRNG) を使用する

アプリケーションがランダム性に依存している場合は、暗号論的擬似乱数生成器 (CSPRNG) を使用することをお勧めします。Java 向けの Lambda マネージドランタイムには、SnapStart でのランダム性を自動的に維持する 2 つの組み込み CSPRNG (OpenSSL 1.0.2 と java.security.SecureRandom) が含まれています。/dev/random または /dev/urandom から乱数を常に取得するソフトウェアも、SnapStart でのランダム性を維持します。

AWS 暗号化ライブラリは、次の表で指定されている最小バージョンから始まる SnapStart でのランダム性を自動的に維持します。これらのライブラリを Lambda 関数で使用する場合は、次の最小バージョン以降を使用していることを確認してください。

[Library] (ライブラリ) サポートされている最小バージョン (x86) サポートされている最小バージョン (ARM)
AWS libcrypto (AWS-LC)

1.16.0

1.30.0
AWS libcrypto FIPS

2.0.13

 2.0.13

次のライブラリを介して、前述の暗号化ライブラリを推移的な依存関係として Lambda 関数にパッケージ化する場合は、次の最小バージョン以降を使用していることを確認してください。

[Library] (ライブラリ) サポートされている最小バージョン (x86) サポートされている最小バージョン (ARM)
AWS SDK for Java 2.x

2.23.20

2.26.12
AWS Common Runtime for Java

0.29.8

0.29.25
Amazon Corretto Crypto Provider

2.4.1

 2.4.1
Amazon Corretto Crypto Provider FIPS

2.4.1

 2.4.1
例 – java.security.SecureRandom

以下の例は java.security.SecureRandom を使用しています。これは、関数がスナップショットから復元された場合でも、一意の数列を生成します。

import java.security.SecureRandom;
  public class Handler implements RequestHandler<String, String> {
    private static SecureRandom rng = new SecureRandom();
    @Override
    public String handleRequest(String event, Context context) {
      for (int i = 0; i < 10; i++) {
        System.out.println(rng.next());
      }
      return "Hello, World!";
    }
  }

SnapStart スキャンツール

Lambda は、一意性を前提としたコードをチェックするために役立つスキャンツールを提供しています。SnapStart スキャンツールは、一連のルールに照らして静的分析を実行する、オープンソースの SpotBugs プラグインです。スキャンツールは、一意性に関する前提を覆す可能性がある、潜在的なコード実装を特定するために役立ちます。インストール手順、およびスキャンツールが実行するチェックのリストについては、GitHub の aws-lambda-snapstart-java-rules リポジトリを参照してください。

SnapStart による一意性の処理について詳しくは、AWS コンピューティングブログの「AWS Lambda SnapStart による迅速なスタートアップ」を参照してください。