Claude Codeに読まれたくないディレクトリを暗号化イメージに隔離する

Claude Codeに読まれたくないディレクトリがあって、うっかり読み込まれたらいやなのでディレクトリ単位で暗号化できないか…ということをClaudeに相談したら「暗号化イメージを使うとよいのではないか」と提案されたのでやってみた。

まずディスクユーティリティを起動し、「ファイル > 新規イメージ > フォルダからのイメージ作成」を選択。

対象ディレクトリを選択して、256ビットAES+Appleスパースイメージでイメージを作成する。

「保存」を押すとパスワードを聞かれる。

そのままだとすぐに容量が埋まるので「イメージ > サイズ変更」から増量しておく。

作成したイメージを適当な場所に置いてdiskutilでattachする。 attachしたディレクトリは普通に読み書きできる。

% diskutil image attach foo.asif
Enter password to access “foo.asif”:
...
/dev/disk5s1    Apple_APFS_Volume       /Volumes/foo

% ls /Volumes/foo
hello.txt

% cd /Volumes/foo
% touch world.txt
% ls
hello.txt   world.txt

作業が終わったらボリュームをejectする。

% diskutil eject /Volumes/foo
Disk /Volumes/foo ejected

% ls /Volumes/foo
ls: /Volumes/foo: No such file or directory

lambrollでLambda@Edgeをデプロイする

メモ。

デプロイ

デプロイ自体はlambroll deploy --region us-east-1を実行すればOK。

CloudFrontの更新

Lambda@Edgeでは$LATESTやAliasを使えないので、current Aliasからバージョンを探してCloudFrontを明示的に更新する。

export AWS_REGION=us-east-1

FUNC_NAME=myfunc
ARN=$(aws lambda get-function --function-name $FUNC_NAME --query 'Configuration.FunctionArn' --output text)
VER=$(aws lambda get-alias --function-name $FUNC_NAME --name current --query 'FunctionVersion' --output text)

DIST_ID=xxx
aws cloudfront get-distribution-config --id $DIST_ID > config.json
ETAG=$(jq -r '.ETag' config.json)
sed -E "s/${ARN}:[0-9]+/${ARN}:${VER}/" config.json > full-config.json.new
jq .DistributionConfig full-config.json.new > config.json.new
aws cloudfront update-distribution --id $DIST_ID --distribution-config file://config.json.new --if-match $ETAG

参考:

stackoverflow.com

TerraformのCloudFrontの定義

Terraformではqualifier = "current"を指定してLambdaを参照する。

data "aws_lambda_function" "myfunc" {
  function_name = "myfunc"
  qualifier     = "current"
  region        = "us-east-1"
}

resource "aws_cloudfront_distribution" "mydist" {
    # ...
    lambda_function_association {
      lambda_arn = "${data.aws_lambda_function.myfunc.arn}:${data.aws_lambda_function.myfunc.version}"
      # ...
    }
    # ...
}

RidgepoleのdiffyをPure Rubyのライブラリに差し替えました

Ridgepole上でdiffyの処理に時間がかかっているという話があったので、Claude CodeにPure Rubyのdiffライブラリを作ってもらって、差し替えてみました。

github.com

github.com

Claude Code曰く

とのこと。

3.2.0.betaとしてリリースしました。

悲鳴が上がらなければ、betaを外してリリースしようと思います。

2026/03/28追記

API GatewayからStep Functionsを実行する

terraformのコードが以下の通り。

terraform

#####################################################################
# API Gateway
#####################################################################

resource "aws_apigatewayv2_api" "apigw2sfn" {
  name          = "apigw2sfn"
  protocol_type = "HTTP"
}

resource "aws_apigatewayv2_stage" "apigw2sfn_main" {
  api_id      = aws_apigatewayv2_api.apigw2sfn.id
  name        = "main"
  auto_deploy = true
}

resource "aws_apigatewayv2_route" "apigw2sfn_post_root" {
  api_id    = aws_apigatewayv2_api.apigw2sfn.id
  route_key = "POST /"
  target    = "integrations/${aws_apigatewayv2_integration.apigw2sfn.id}"
}

resource "aws_apigatewayv2_integration" "apigw2sfn" {
  api_id              = aws_apigatewayv2_api.apigw2sfn.id
  integration_type    = "AWS_PROXY"
  integration_subtype = "StepFunctions-StartExecution"
  credentials_arn     = aws_iam_role.apigw2sfn_role.arn

  request_parameters = {
    Input           = "$request.body"
    StateMachineArn = aws_sfn_state_machine.my_sfn_sleep.arn
  }
}

resource "aws_iam_role" "apigw2sfn_role" {
  name = "apigw2sfn-role"
  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Effect = "Allow"
        Action = "sts:AssumeRole"
        Principal = {
          Service = "apigateway.amazonaws.com"
        }
      }
    ]
  })
}

resource "aws_iam_role_policy" "apigw2sfn_start_sfn" {
  role = aws_iam_role.apigw2sfn_role.name
  name = "start-sfn"

  policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Effect   = "Allow"
        Action   = "states:StartExecution"
        Resource = aws_sfn_state_machine.my_sfn_sleep.arn
      }
    ]
  })
}

#####################################################################
# Step Functions
#####################################################################

resource "aws_sfn_state_machine" "my_sfn_sleep" {
  name     = "my-sfn-sleep"
  role_arn = aws_iam_role.my_sfn_role.arn

  definition = jsonencode({
    QueryLanguage = "JSONata"
    StartAt       = "Wait"
    States = {
      Wait = {
        Type    = "Wait"
        Seconds = 60
        Next    = "Exit"
      }
      Exit = {
        Type = "Succeed"
      }
    }
  })
}

resource "aws_iam_role" "my_sfn_role" {
  name = "my-sfn-role"

  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Effect = "Allow"
        Action = "sts:AssumeRole"
        Principal = {
          Service = "states.amazonaws.com"
        }
      }
    ]
  })
}

curlからPOSTするとすぐにレスポンスが返ってくる。

% curl -XPOST -d '{"hello":"world"}' https://xxx.execute-api.ap-northeast-1.amazonaws.com/main/
{"executionArn":"arn:aws:states:ap-northeast-1:123456789012:execution:my-sfn-sleep:7af667d7-16f8-4435-8ce5-f3500a878a32","startDate":1.772339363814E9}

リクエストボディがStateへの入力になる。

認証を追加

LambdaのAuthorizerを追加する。

resource "aws_apigatewayv2_route" "apigw2sfn_post_root" {
  # ...

  # 追加
  authorization_type = "CUSTOM"
  authorizer_id      = aws_apigatewayv2_authorizer.apigw2sfn.id
}

#####################################################################
# Authorizer
#####################################################################

resource "aws_apigatewayv2_authorizer" "apigw2sfn" {
  api_id                            = aws_apigatewayv2_api.apigw2sfn.id
  authorizer_type                   = "REQUEST"
  identity_sources                  = ["$request.header.Authorization"]
  name                              = "authorizer"
  authorizer_payload_format_version = "2.0"
  enable_simple_responses           = true
  authorizer_uri                    = aws_lambda_function.apigw2sfn_authorizer.invoke_arn
  authorizer_result_ttl_in_seconds  = 0
}

resource "lambdazip_file" "apigw2sfn_authorizer" {
  output = "apigw2sfn-authorizer.zip"

  contents = {
    "index.mjs" = <<-EOT
      export const handler = async (event) => {
        console.log(event);
        return {
          isAuthorized: true,
          context: {}, // コメントアウトしてもよい
        };
      };
    EOT
  }
}

resource "aws_lambda_function" "apigw2sfn_authorizer" {
  filename         = lambdazip_file.apigw2sfn_authorizer.output
  function_name    = "apigw2sfn-authorizer"
  role             = aws_iam_role.lambda_apigw2sfn_authorizer_role.arn
  handler          = "index.handler"
  source_code_hash = lambdazip_file.apigw2sfn_authorizer.base64sha256
  runtime          = "nodejs22.x"
}

# NOTE: apigw2sfn_roleへの権限の付与は不要っぽい
resource "aws_lambda_permission" "authorizer" {
  statement_id  = "AllowExecutionFromAPIGateway"
  action        = "lambda:InvokeFunction"
  function_name = aws_lambda_function.apigw2sfn_authorizer.function_name
  principal     = "apigateway.amazonaws.com"
  source_arn    = "${aws_apigatewayv2_api.apigw2sfn.execution_arn}/authorizers/${aws_apigatewayv2_authorizer.apigw2sfn.id}"
}

resource "aws_iam_role" "lambda_apigw2sfn_authorizer_role" {
  name = "lambda-apigw2sfn-authorizer-role"

  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Effect = "Allow"
        Principal = {
          Service = "lambda.amazonaws.com"
        }
        Action = "sts:AssumeRole"
      }
    ]
  })
}

resource "aws_iam_role_policy_attachment" "lambda_apigw2sfn_authorizer_role" {
  role       = aws_iam_role.lambda_apigw2sfn_authorizer_role.name
  policy_arn = "arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole"
}

curlにAuthorizationヘッダをつけてリクエストを送る

% curl -H "Authorization: secret" -XPOST -d '{"hello":"world"}' https://xxx.execute-api.ap-northeast-1.amazonaws.com/main/

2026-03-01T05:18:57.786000+00:00 2026/03/01/[$LATEST]adc7c386f6284871bec443ce118165e0 INIT_START Runtime Version: nodejs:22.v72  Runtime Version ARN: arn:aws:lambda:ap-northeast-1::runtime:d16c83c0a8a33f01d0039330bdf4f8f429ff40686e670a93d7fbf2b2d77cb783
2026-03-01T05:18:57.949000+00:00 2026/03/01/[$LATEST]adc7c386f6284871bec443ce118165e0 START RequestId: 23221b22-ee34-4a2c-ac2d-9ccde5bc0475 Version: $LATEST
2026-03-01T05:18:57.952000+00:00 2026/03/01/[$LATEST]adc7c386f6284871bec443ce118165e0 2026-03-01T05:18:57.952Z  23221b22-ee34-4a2c-ac2d-9ccde5bc0475    INFO    {
  version: '2.0',
  type: 'REQUEST',
  routeArn: 'arn:aws:execute-api:ap-northeast-1:123456789012:xxx/main/POST/',
  identitySource: [ 'secret' ],
  routeKey: 'POST /',
  rawPath: '/main/',
  rawQueryString: '',
  headers: {
    accept: '*/*',
    authorization: 'secret',
    'content-length': '17',
    'content-type': 'application/x-www-form-urlencoded',
    host: 'xxx.execute-api.ap-northeast-1.amazonaws.com',
    'user-agent': 'curl/8.7.1',
    'x-amzn-trace-id': 'Root=1-69a3cc41-6fb73814690fbe6a00877c63',
    'x-forwarded-for': 'xxx.xxx.xxx.xxx',
    'x-forwarded-port': '443',
    'x-forwarded-proto': 'https'
  },
  requestContext: {
    // ...
  }
}
2026-03-01T05:18:58.009000+00:00 2026/03/01/[$LATEST]adc7c386f6284871bec443ce118165e0 END RequestId: 23221b22-ee34-4a2c-ac2d-9ccde5bc0475
2026-03-01T05:18:58.010000+00:00 2026/03/01/[$LATEST]adc7c386f6284871bec443ce118165e0 REPORT RequestId: 23221b22-ee34-4a2c-ac2d-9ccde5bc0475    Duration: 59.51 ms  Billed Duration: 219 ms Memory Size: 128 MB Max Memory Used: 74 MB  Init Duration: 158.59 ms

isAuthorizedをfalseにするとブロックされる。

% curl -H "Authorization: secret" -XPOST -d '{"hello":"world"}' https://rthl7n1u4a.execute-api.ap-northeast-1.amazonaws.com/main/
{"message":"Forbidden"}

psqlからClaude Codeを呼び出す

psqlのpagerをteeにしておけば直前のクエリの結果がファイルに記録されるので、それをClaude Codeに食わせられるな…ということでやってみた。

$ psql -h localhost -U postgres

postgres=# \setenv PSQL_PAGER 'tee query.log';
postgres=# \pset pager always

postgres=# explain analyze WITH partition AS (
  SELECT
    i.inhrelid,
    c.relname
  FROM
    pg_catalog.pg_inherits i
    JOIN pg_catalog.pg_class c ON c.oid = i.inhparent
)
SELECT
  c.relname,
  p.relname AS partition_of
FROM
  pg_catalog.pg_class c
  JOIN pg_catalog.pg_namespace n ON n.oid = c.relnamespace
  LEFT JOIN LATERAL (
    SELECT relname FROM partition WHERE inhrelid = c.oid LIMIT 1
  ) AS p ON true
WHERE n.nspname = 'public'
;

postgres=# \! claude "query.logのQUERY PLANを分析して"

S3でCodeBuildの排他制御をする

CodeBuildで同時ビルド数を一つに制限したいことがあって、そういうときはConcurrent build limit1に設定して運用するようにしていた。

[Concurrent build limit] (同時ビルド制限) で、このジョブで許可される同時実行の最大数を設定します。

しかしConcurrent build limitでは制限を超えるビルドが実行されると「待ち状態」にはならずに即座にビルドが失敗する。

それが原因でCIに組み込んだCodeBuildのビルドが失敗することがしばしばあったのでS3の制御を使って「他のビルドの終了を待てる」仕組みを作ってみた。

s3lock

github.com

s3lockはS3の条件付き書き込みを使った排他制御ツールで、If-None-Match: *をつけてオブジェクトを作成することでPutObjectで上書きできないようにしている。

# URLを指定してロックを取得
$ s3lock lock s3://my-bucket/lock-object
s3://my-bucket/lock-object has been locked
create lock-object.lock

# 他のプロセスではロックを取れない
# $ s3lock lock s3://my-bucket/lock-object
# s3lock: error: lock already held

# 何か処理をやってからロックを解除
$ s3lock unlock lock-object.lock
s3://my-bucket/lock-object has been unlocked
delete lock-object.lock

lockサブコマンドには-w UINTオプションがあって、即時終了しないで指定秒数ロックの取得を待つことができる。

# すでにロックがとられていた場合、解除されるまで600秒待つ
$ s3lock lock -w 600 s3://my-bucket/lock-object

CodeBuild+s3lock

CodeBuildでs3lockを使って排他制御してみる。

buildspecはこんな感じ。

version: 0.2

phases:
  install:
    commands:
      - curl -sSfLO https://github.com/winebarrel/s3lock/releases/download/v0.1.0/s3lock_0.2.0_amd64.deb
      - dpkg -i s3lock_0.2.0_amd64.deb
  build:
    commands:
      - s3lock lock -w 600 s3://winebarrel/lock-object
      - sleep 60
    finally:
      - |
        if [ -e lock-object.lock ]; then
          s3lock unlock lock-object.lock
        fi

コマンドラインから連続してビルドを実行してみる。

$ aws codebuild start-build --project-name hello
{
    "build": {
        "buildNumber": 4,
        "startTime": "2026-02-08T10:37:12.198000+09:00",
...
$ aws codebuild start-build --project-name hello
{
    "build": {
        "buildNumber": 5,
        "startTime": "2026-02-08T10:37:13.866000+09:00",
...

buildNumber: 4では普通にロックを取得して、sleep 60してからロック解除して終了。

[Container] 2026/02/08 01:37:24.824871 Entering phase BUILD
[Container] 2026/02/08 01:37:24.826554 Running command s3lock lock -w 600 s3://winebarrel/lock-object > lock-object.lock
[Container] 2026/02/08 01:37:24.903498 Running command sleep 60
[Container] 2026/02/08 01:38:24.910839 Running command s3lock unlock lock-object.lock
[Container] 2026/02/08 01:38:25.026469 Phase complete: BUILD State: SUCCEEDED

buildNumber: 5ではs3lock lock -w 600でロックの取得を待ち、60秒たってロックを取得できてからsleepに進んでいる。

[Container] 2026/02/08 01:37:25.642655 Entering phase BUILD
[Container] 2026/02/08 01:37:25.643898 Running command s3lock lock -w 600 s3://winebarrel/lock-object > lock-object.lock
[Container] 2026/02/08 01:38:25.742380 Running command sleep 60
[Container] 2026/02/08 01:39:25.750361 Running command s3lock unlock lock-object.lock
[Container] 2026/02/08 01:39:25.881432 Phase complete: BUILD State: SUCCEEDED

最終的に同時ビルド数を1に制限しつつ、複数のビルドを正常終了することができた。

iPhone Safari用のはてブNGフィルタ機能拡張「はてブフィルター」を作った

はてなブックマークは好きだけどあまり目にしたくないエントリもあるので、iPhone/iPadのSafari用NGフィルタ機能拡張を作った。

はてブフィルター

はてブフィルター

  • Genki Sugawara
  • ユーティリティ
  • 無料
apps.apple.com

github.com

*1

ChromeFirefoxの拡張はすでにいくつか存在する。

anond.hatelabo.jp

しかし普段使っているiOSSafariは作り方がやや特殊なせいかまだなかったので自作した。 といっても基本的にはWeb Extensionsなので、Chrome拡張の作り方がそのまま流用できる。

iOSSafariの場合、ネイティブアプリにバンドルされる形で機能拡張がインストールされるのでXcodeが必要になるが、New > Project > Safari Extention Appでプロジェクトを作って各種js、manifest.jsonを修正したらほとんどの実装は完了した。

雑感

  • はてなブックマーク、ヘッダのエントリだけdivのclassが違ったり遅延して表示されるエントリがあったりと、ユーザースクリプトだけでカバーするのは結構厳しそうな感じがした
    • 遅延表示エントリについてはchrome.tabs.onUpdated.addListenerでも消せなかったので、画面を表示してから3秒間は走査しつづけるという力技で対応した
  • キーワードの保存にはchrome.storage.local.setを使っている。
    • content.jsからネイティブアプリに通信することは可能なので、SwiftData+iCloud同期で端末間の設定を共有することはできると思うがそこまでやっていない
  • iPhoneとiPadでポップアップのレイアウトが違いすぎる
    • 「divでmarginとmin-widthを設定して〜」みたいなことを久々にやった
  • デバッグがややめんどい
    • 母艦であるMac miniでWebデベロップ機能を有効にしたSafariを立ち上げてiOSSafariに接続する
    • jsファイルの編集はVSCodeでやっていたので、VSCodeXcode・母艦のSafariiOSSafariを行ったり来たりしていた
    • しかもポップアップを閉じるとポップアップ用のWeb開発コンソールは閉じてしまうので、console.logを確認するのもめんどくさかった
  • 機能拡張そのものの話ではないけれど、ネイティブアプリの画面から設定画面を開くためのURLスキームを探すのがめんどくさかった

*1:シミュレーターだとポップアップのレイアウトがおかしくなる