はじめに

汎用ポリシーエンジンである Open Policy Agent では、WebAssembly 形式でポリシーを配布可能です。本記事では、WebAssembly 形式で出力された Open Policy Agent のポリシーを Web ブラウザで評価することを試してみた内容を紹介します。

Open Policy Agent とは

Open Policy Agent (OPA) は OSS の軽量で汎用的なポリシーエンジンです。開発時や運用時におけるルール(ポリシー)を事前に定義することで、ポリシーに反する情報を検出できます。OPA はポリシーを定義するための宣言型言語 Rego と、ポリシー評価のためのシンプルな API を提供しています。

WebAssembly とは

WebAssembly とは、 Web ブラウザ上で実行可能なバイナリコードの仕様です。C/C++, Rust などの言語で記述されたプログラムをコンパイルし、Web ブラウザ上で実行します。実行時のパース等が不要で高速に動作させることができるため、ブラウザの機能では実現できなかった処理が可能になります。

また、WebAssembly はプラットフォームに依存せず、高いポータビリティを有していることから、Web ブラウザ以外での活用という点でも注目されています。

WebAssembly と OPA

OPA には、ポリシーを WebAssembly 形式で出力する機能があります。通常ポリシー評価のためには、OPA を Daemon として動作させて API を利用するか、ライブラリとして組み込む(Go 言語に限る)必要があります。ポリシーを Wasm 形式で出力することで、Web ブラウザをはじめ、さまざまなプラットフォーム上で OPA のポリシーを評価できるようになります。

Web ブラウザ上で OPA を動作させる手順

ここからは、OPA のポリシーを WebAssembly (Wasm) 形式で出力し、Web ブラウザ上で実行させる手順を説明していきます。

なお、Node.js 上での実行に関しては、opa-wasm のサンプル等を参考にしてください。

Wasm ファイルの作成

まずは Rego で記述したポリシーから、Wasm ファイルを作成します。 Wasm ファイルの作成には、バンドルファイルを作成するための opa build コマンドを利用します。

$ opa build -t wasm -e 'example/allow' policy/wasm/policy.rego

Wasm 形式でポリシーを出力するには最低 1 つ、エントリーポイントとなるルールを指定する必要があります(-e で指定)。上記の例では、example パッケージの allow というルールがエントリーポイントとなります。

opa build コマンドが成功すると、bundle.tar.gz というバンドルファイルが生成されます。Wasm ファイルはこのバンドルファイルの中に出力されます。

# bundle.tar.gz の中身を確認
$ tar tvf bundle.tar.gz
-rw------- 0/0             128 1970-01-01 09:00 /policy/wasm/policy.rego
-rw------- 0/0          116734 1970-01-01 09:00 /policy.wasm
-rw------- 0/0              87 1970-01-01 09:00 /.manifest
# policy.wasm ファイルのみを解凍
$ tar -xzf bundle.tar.gz /policy.wasm

Wasm 形式の注意点としては、JSON で記述される Data ドキュメントが含まれないという点が挙げられます。Daemon として OPA を実行する場合、ポリシーと一緒に Data ドキュメントが読み込まれ、ポリシーの評価時に Data ドキュメントの情報が参照されます。しかし、Wasm で利用する際には後述するように外部から Data の情報をセットする必要があります。

Wasm ファイルの読み込み (@open-policy-agent/opa-wasm の利用)

作成した Wasm 形式のポリシーを JavaScript で利用するには、@open-policy-agent/opa-wasm パッケージを利用します。

$ npm install @open-policy-agent/opa-wasm

@open-policy-agent/opa-wasm には loadPolicy という関数が用意されており、これを利用して OPA の wasm ファイルを読み込むことができます。

import { loadPolicy } from "@open-policy-agent/opa-wasm";

...
// wasm ファイルを ArrayBufferとして読み込む
const policyWasm = await fetch("/path/to/wasm").then(res => res.arrayBuffer());
// webpack の arraybuffer-loader を利用すればバンドル時に組み込むことも可能
// const policyWasm = require("./path/to/policy.wasm");

const policy = await loadPolicy(policyWasm);

ポリシー評価の実行

loadPolicy によって作成されたオブジェクトには、setData() と evaluate() メソッドが提供されています。

setData() はポリシーに Data ドキュメントをセットします。前述の通り、Wasm 形式のポリシーには Data ドキュメントが含まれないため、(API などを利用して) 外部から取得してポリシーに Data ドキュメントをセットします。

const data = { hello: "world" };
policy.setData(data);

evaluate() は Data ドキュメントと入力を基にポリシーを評価し、評価結果が object として返却されます。

input には JSON serializable なオブジェクトを指定します。

const input = { world: "world" };
const result = policy.evaluate(input);
console.log(result);
// {result: true}

おわりに

OPA のポリシーを Wasm 形式で作成し、Web ブラウザ上でポリシー評価をしてみました。Wasm 形式でポリシーを配布できるため、1 つのコードベースから複数のプラットフォームで同じポリシーを適用できる点はかなり有用だと感じました。例えば Web アプリケーションとバックエンドサーバで、同一のポリシーを利用して Payload の Validation を行うといったユースケースも考えられます。

引き続き OPA, WebAsembly の動向に注目していきたいと思います。