ホーム / SES /

SES Python2.7でも動くSMTP用の認証情報変換スクリプト

2022年5月15日日曜日

AWS Python SES

t f B! P L

SESのSMTPインターフェースを使用するためには認証情報の生成が必要です。

認証情報はユーザー名にあたる部分はアクセスキーそのままですが、パスワードにあたる部分はシークレットアクセスキーそのままではありません。

SESのコンソールから認証情報を生成することができますが、それだと発行するたびに新しいIAMユーザーが作られてしまうので、それが嫌だというケースはよくあると思います。

既存のIAMユーザーのシークレットアクセスキーからSMTP用のパスワードにコンバートするサンプルスクリプトが以下に掲載されていますが、Python3.6以上でないと動きません。

https://docs.aws.amazon.com/ja_jp/ses/latest/dg/smtp-credentials.html#smtp-credentials-convert

メジャーなLinuxにデフォルトで入っているPythonはまだ2.7だったりして、Python3を導入できない(したくない)という環境はまだまだあると思います。ので、Python2.7でも3でも動くように手を加えたものが以下になります。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
#!/usr/bin/python
 
import hmac
import hashlib
import base64
import argparse
 
SMTP_REGIONS = [
    'us-east-2',       # US East (Ohio)
    'us-east-1',       # US East (N. Virginia)
    'us-west-2',       # US West (Oregon)
    'ap-south-1',      # Asia Pacific (Mumbai)
    'ap-northeast-2'# Asia Pacific (Seoul)
    'ap-southeast-1'# Asia Pacific (Singapore)
    'ap-southeast-2'# Asia Pacific (Sydney)
    'ap-northeast-1'# Asia Pacific (Tokyo)
    'ca-central-1',    # Canada (Central)
    'eu-central-1',    # Europe (Frankfurt)
    'eu-west-1',       # Europe (Ireland)
    'eu-west-2',       # Europe (London)
    'sa-east-1',       # South America (Sao Paulo)
    'us-gov-west-1',   # AWS GovCloud (US)
]
 
# These values are required to calculate the signature. Do not change them.
DATE = "11111111"
SERVICE = "ses"
MESSAGE = "SendRawEmail"
TERMINAL = "aws4_request"
VERSION = b'\x04'
 
 
def sign(key, msg):
    return hmac.new(key, msg.encode('utf-8'), hashlib.sha256).digest()
 
 
def calculate_key(secret_access_key, region):
    if region not in SMTP_REGIONS:
        raise ValueError("The region doesn't have an SMTP endpoint.")
 
    signature = sign(("AWS4" + secret_access_key).encode('utf-8'), DATE)
    signature = sign(signature, region)
    signature = sign(signature, SERVICE)
    signature = sign(signature, TERMINAL)
    signature = sign(signature, MESSAGE)
    signature_and_version = VERSION + signature
    smtp_password = base64.b64encode(signature_and_version)
    return smtp_password.decode('utf-8')
 
 
def main():
    parser = argparse.ArgumentParser(
        description='Convert a Secret Access Key for an IAM user to an SMTP password.')
    parser.add_argument(
        'secret', help='The Secret Access Key to convert.')
    parser.add_argument(
        'region',
        help='The AWS Region where the SMTP password will be used.',
        choices=SMTP_REGIONS)
    args = parser.parse_args()
    print(calculate_key(args.secret, args.region))
 
 
if __name__ == '__main__':
    main()

39行目で使用されているf文字列についてはマニュアルでも指摘されている通り。ここは単純に削りました。

キモは、30行目のVERSIONをb'\x04'にし、46行目のsignature_and_version = bytes([VERSION]) + signatureをsignature_and_version = VERSION + signatureに変えたところです。bytes()の挙動が2系と3系では大きく異なっており、オリジナルのスクリプトのbytes([VERSION])の結果が2系と3系では異なって、結果生成されるパスワードが違ってしまいます。46行目でbytes()を使用せずに、VERSION変数の値を最初からb'\x04'にしておくことで挙動の差を吸収することができます。

使い方はオリジナルと同じです。

QooQ