.goファイル内のSQLを補完するLSPサーバを作った

pglsという.goファイル内のSQLを補完するLSPサーバをAIに作らせてみた。

github.com

先日、pistachioというPostgreSQL用の宣言的スキーマ管理ツールを作ったが、テーブル定義のSQLファイルを読ませればSQLの補完できるなぁ…となんとなく思いついて、mizzyさんがCarina用にLSPサーバを作っているのを見て、自分でもやってみた。

ワークスペースのルートに .pgls.json をおいて、スキーマファイルのディレクトリを指定。

{ "schemaDir": "schema" }

// language=sql とコメントを書く、またはdatabase/sqlの関数名でSQLと認識して補完できるようになる。

ツールチップでのテーブル定義の確認や、定義箇所へのジャンプもできる。

VS Codeとvimで動作確認済み。

vimはキーバインドの設定が必要だったので、以下のようにした。

if executable('pgls')
  augroup pgls_register
    autocmd!
    autocmd User lsp_setup call lsp#register_server({
      \ 'name': 'pgls',
      \ 'cmd': {server_info -> ['pgls']},
      \ 'allowlist': ['go', 'sql'],
      \ 'root_uri': {server_info -> lsp#utils#path_to_uri(
      \   lsp#utils#find_nearest_parent_file_directory(
      \     lsp#utils#get_buffer_path(), ['.git/', 'go.mod']))},
      \ })
  augroup END
endif

" vim-lsp 共通設定
let g:lsp_diagnostics_signs_enabled         = 1     " 行頭にエラーマーカー
let g:lsp_diagnostics_virtual_text_enabled  = 1     " 行末にインライン表示
let g:lsp_diagnostics_echo_cursor           = 1     " ステータスラインに表示
let g:lsp_document_highlight_enabled        = 0     " カーソル位置のシンボルハイライトは無効

" LSPがアタッチされたバッファだけにキーマップを設定
function! s:on_lsp_buffer_enabled() abort
  setlocal omnifunc=lsp#complete
  setlocal signcolumn=yes

  " ジャンプ
  nmap <buffer> gd <plug>(lsp-definition)
  nmap <buffer> gr <plug>(lsp-references)
  nmap <buffer> gi <plug>(lsp-implementation)
  nmap <buffer> gt <plug>(lsp-type-definition)

  " ホバー(K は man の上書き)
  nmap <buffer> K  <plug>(lsp-hover)

  " 診断
  nmap <buffer> ]d <plug>(lsp-next-diagnostic)
  nmap <buffer> [d <plug>(lsp-previous-diagnostic)

  " リネーム / コードアクション
  nmap <buffer> <leader>rn <plug>(lsp-rename)
  nmap <buffer> <leader>ca <plug>(lsp-code-action)

  " DocumentLink (Cmd+click相当 — pglsならスキーマファイルへ飛ぶ)
  nmap <buffer> gx <plug>(lsp-document-link)

  " 補完(asyncomplete 入れてないなら手動)
  inoremap <buffer> <C-Space> <C-x><C-o>
endfunction

augroup lsp_install
  autocmd!
  autocmd User lsp_buffer_enabled call s:on_lsp_buffer_enabled()
augroup END

AWS IAMロールからAzureの権限を取得する(terraform / azure cli)

AzureのWorkload Identity フェデレーションを使って、AWS IAMロールからAzureの操作権限を取得してみる。

まず、outbound-web-identity-federationを有効にする。

aws iam enable-outbound-web-identity-federation
{
    "IssuerIdentifier": "https://xxx.tokens.sts.global.api.aws"
}

※terraform: https://registry.terraform.io/providers/-/aws/latest/docs/resources/iam_outbound_web_identity_federation

次にAzureADのエンタープライズアプリケーションを定義する。

provider "azurerm" {
  resource_provider_registrations = "none"
  features {}
}

data "azurerm_subscription" "current" {
}

resource "azuread_application" "aws_federation" {
  display_name = "aws-iam-role-federation-app"
}

resource "azuread_service_principal" "aws_federation_sp" {
  client_id = azuread_application.aws_federation.client_id
}

resource "azuread_application_federated_identity_credential" "aws_link" {
  application_id = azuread_application.aws_federation.id
  display_name   = "aws-iam-role-link"
  description    = "AWS IAM ロールからのアクセスを許可"

  issuer = "https://xxx.tokens.sts.global.api.aws" # IssuerIdentifier

  # 信頼する AWS IAM ロールの ARN
  subject = "arn:aws:iam::123456789012:role/MyRole"

  audiences = ["api://AzureADTokenExchange"]
}

# aws_federation_spに適当な権限を付与
resource "azurerm_role_assignment" "example" {
  scope                = data.azurerm_subscription.current.id
  role_definition_name = "Reader"
  principal_id         = azuread_service_principal.aws_federation_sp.object_id
}

AWS側でget-web-identity-tokenを使って取得したトークンでazログインする

#!/bin/bash
set -e

TENANT_ID="xxx"
CLIENT_ID="yyy" # aws-iam-role-federation-appのApplication (client) ID

AWS_TOKEN=$(aws sts get-web-identity-token \
  --audience "api://AzureADTokenExchange" \
  --signing-algorithm RS256 \
  --query "WebIdentityToken" \
  --output text)

az login --service-principal \
  -u "$CLIENT_ID" \
  -t "$TENANT_ID" \
  --allow-no-subscriptions \
  --federated-token "$AWS_TOKEN"

$ ./az-login.sh
$ az account show
{
  "environmentName": "AzureCloud",
  "homeTenantId": "xxx"
  "id": "yyy",
  "isDefault": true,
  "managedByTenants": [],
  "name": "...",
  "state": "Enabled",
  "tenantId": "xxx",
  "user": {
    "name": "zzz"
    "type": "servicePrincipal"
  }
}

参考

Claude Codeに読まれたくないディレクトリを暗号化イメージに隔離する

Claude Codeに読まれたくないディレクトリがあって、うっかり読み込まれたらいやなのでディレクトリ単位で暗号化できないか…ということをClaudeに相談したら「暗号化イメージを使うとよいのではないか」と提案されたのでやってみた。

まずディスクユーティリティを起動し、「ファイル > 新規イメージ > フォルダからのイメージ作成」を選択。

対象ディレクトリを選択して、256ビットAES+Appleスパースイメージでイメージを作成する。

「保存」を押すとパスワードを聞かれる。

そのままだとすぐに容量が埋まるので「イメージ > サイズ変更」から増量しておく。

作成したイメージを適当な場所に置いてdiskutilでattachする。 attachしたディレクトリは普通に読み書きできる。

% diskutil image attach foo.asif
Enter password to access “foo.asif”:
...
/dev/disk5s1    Apple_APFS_Volume       /Volumes/foo

% ls /Volumes/foo
hello.txt

% cd /Volumes/foo
% touch world.txt
% ls
hello.txt   world.txt

作業が終わったらボリュームをejectする。

% diskutil eject /Volumes/foo
Disk /Volumes/foo ejected

% ls /Volumes/foo
ls: /Volumes/foo: No such file or directory

lambrollでLambda@Edgeをデプロイする

メモ。

デプロイ

デプロイ自体はlambroll deploy --region us-east-1を実行すればOK。

CloudFrontの更新

Lambda@Edgeでは$LATESTやAliasを使えないので、current Aliasからバージョンを探してCloudFrontを明示的に更新する。

export AWS_REGION=us-east-1

FUNC_NAME=myfunc
ARN=$(aws lambda get-function --function-name $FUNC_NAME --query 'Configuration.FunctionArn' --output text)
VER=$(aws lambda get-alias --function-name $FUNC_NAME --name current --query 'FunctionVersion' --output text)

DIST_ID=xxx
aws cloudfront get-distribution-config --id $DIST_ID > config.json
ETAG=$(jq -r '.ETag' config.json)
sed -E "s/${ARN}:[0-9]+/${ARN}:${VER}/" config.json > full-config.json.new
jq .DistributionConfig full-config.json.new > config.json.new
aws cloudfront update-distribution --id $DIST_ID --distribution-config file://config.json.new --if-match $ETAG

参考:

stackoverflow.com

TerraformのCloudFrontの定義

Terraformではqualifier = "current"を指定してLambdaを参照する。

data "aws_lambda_function" "myfunc" {
  function_name = "myfunc"
  qualifier     = "current"
  region        = "us-east-1"
}

resource "aws_cloudfront_distribution" "mydist" {
    # ...
    lambda_function_association {
      lambda_arn = "${data.aws_lambda_function.myfunc.arn}:${data.aws_lambda_function.myfunc.version}"
      # ...
    }
    # ...
}

RidgepoleのdiffyをPure Rubyのライブラリに差し替えました

Ridgepole上でdiffyの処理に時間がかかっているという話があったので、Claude CodeにPure Rubyのdiffライブラリを作ってもらって、差し替えてみました。

github.com

github.com

Claude Code曰く

とのこと。

3.2.0.betaとしてリリースしました。

悲鳴が上がらなければ、betaを外してリリースしようと思います。

2026/03/28追記

API GatewayからStep Functionsを実行する

terraformのコードが以下の通り。

terraform

#####################################################################
# API Gateway
#####################################################################

resource "aws_apigatewayv2_api" "apigw2sfn" {
  name          = "apigw2sfn"
  protocol_type = "HTTP"
}

resource "aws_apigatewayv2_stage" "apigw2sfn_main" {
  api_id      = aws_apigatewayv2_api.apigw2sfn.id
  name        = "main"
  auto_deploy = true
}

resource "aws_apigatewayv2_route" "apigw2sfn_post_root" {
  api_id    = aws_apigatewayv2_api.apigw2sfn.id
  route_key = "POST /"
  target    = "integrations/${aws_apigatewayv2_integration.apigw2sfn.id}"
}

resource "aws_apigatewayv2_integration" "apigw2sfn" {
  api_id              = aws_apigatewayv2_api.apigw2sfn.id
  integration_type    = "AWS_PROXY"
  integration_subtype = "StepFunctions-StartExecution"
  credentials_arn     = aws_iam_role.apigw2sfn_role.arn

  request_parameters = {
    Input           = "$request.body"
    StateMachineArn = aws_sfn_state_machine.my_sfn_sleep.arn
  }
}

resource "aws_iam_role" "apigw2sfn_role" {
  name = "apigw2sfn-role"
  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Effect = "Allow"
        Action = "sts:AssumeRole"
        Principal = {
          Service = "apigateway.amazonaws.com"
        }
      }
    ]
  })
}

resource "aws_iam_role_policy" "apigw2sfn_start_sfn" {
  role = aws_iam_role.apigw2sfn_role.name
  name = "start-sfn"

  policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Effect   = "Allow"
        Action   = "states:StartExecution"
        Resource = aws_sfn_state_machine.my_sfn_sleep.arn
      }
    ]
  })
}

#####################################################################
# Step Functions
#####################################################################

resource "aws_sfn_state_machine" "my_sfn_sleep" {
  name     = "my-sfn-sleep"
  role_arn = aws_iam_role.my_sfn_role.arn

  definition = jsonencode({
    QueryLanguage = "JSONata"
    StartAt       = "Wait"
    States = {
      Wait = {
        Type    = "Wait"
        Seconds = 60
        Next    = "Exit"
      }
      Exit = {
        Type = "Succeed"
      }
    }
  })
}

resource "aws_iam_role" "my_sfn_role" {
  name = "my-sfn-role"

  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Effect = "Allow"
        Action = "sts:AssumeRole"
        Principal = {
          Service = "states.amazonaws.com"
        }
      }
    ]
  })
}

curlからPOSTするとすぐにレスポンスが返ってくる。

% curl -XPOST -d '{"hello":"world"}' https://xxx.execute-api.ap-northeast-1.amazonaws.com/main/
{"executionArn":"arn:aws:states:ap-northeast-1:123456789012:execution:my-sfn-sleep:7af667d7-16f8-4435-8ce5-f3500a878a32","startDate":1.772339363814E9}

リクエストボディがStateへの入力になる。

認証を追加

LambdaのAuthorizerを追加する。

resource "aws_apigatewayv2_route" "apigw2sfn_post_root" {
  # ...

  # 追加
  authorization_type = "CUSTOM"
  authorizer_id      = aws_apigatewayv2_authorizer.apigw2sfn.id
}

#####################################################################
# Authorizer
#####################################################################

resource "aws_apigatewayv2_authorizer" "apigw2sfn" {
  api_id                            = aws_apigatewayv2_api.apigw2sfn.id
  authorizer_type                   = "REQUEST"
  identity_sources                  = ["$request.header.Authorization"]
  name                              = "authorizer"
  authorizer_payload_format_version = "2.0"
  enable_simple_responses           = true
  authorizer_uri                    = aws_lambda_function.apigw2sfn_authorizer.invoke_arn
  authorizer_result_ttl_in_seconds  = 0
}

resource "lambdazip_file" "apigw2sfn_authorizer" {
  output = "apigw2sfn-authorizer.zip"

  contents = {
    "index.mjs" = <<-EOT
      export const handler = async (event) => {
        console.log(event);
        return {
          isAuthorized: true,
          context: {}, // コメントアウトしてもよい
        };
      };
    EOT
  }
}

resource "aws_lambda_function" "apigw2sfn_authorizer" {
  filename         = lambdazip_file.apigw2sfn_authorizer.output
  function_name    = "apigw2sfn-authorizer"
  role             = aws_iam_role.lambda_apigw2sfn_authorizer_role.arn
  handler          = "index.handler"
  source_code_hash = lambdazip_file.apigw2sfn_authorizer.base64sha256
  runtime          = "nodejs22.x"
}

# NOTE: apigw2sfn_roleへの権限の付与は不要っぽい
resource "aws_lambda_permission" "authorizer" {
  statement_id  = "AllowExecutionFromAPIGateway"
  action        = "lambda:InvokeFunction"
  function_name = aws_lambda_function.apigw2sfn_authorizer.function_name
  principal     = "apigateway.amazonaws.com"
  source_arn    = "${aws_apigatewayv2_api.apigw2sfn.execution_arn}/authorizers/${aws_apigatewayv2_authorizer.apigw2sfn.id}"
}

resource "aws_iam_role" "lambda_apigw2sfn_authorizer_role" {
  name = "lambda-apigw2sfn-authorizer-role"

  assume_role_policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Effect = "Allow"
        Principal = {
          Service = "lambda.amazonaws.com"
        }
        Action = "sts:AssumeRole"
      }
    ]
  })
}

resource "aws_iam_role_policy_attachment" "lambda_apigw2sfn_authorizer_role" {
  role       = aws_iam_role.lambda_apigw2sfn_authorizer_role.name
  policy_arn = "arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole"
}

curlにAuthorizationヘッダをつけてリクエストを送る

% curl -H "Authorization: secret" -XPOST -d '{"hello":"world"}' https://xxx.execute-api.ap-northeast-1.amazonaws.com/main/

2026-03-01T05:18:57.786000+00:00 2026/03/01/[$LATEST]adc7c386f6284871bec443ce118165e0 INIT_START Runtime Version: nodejs:22.v72  Runtime Version ARN: arn:aws:lambda:ap-northeast-1::runtime:d16c83c0a8a33f01d0039330bdf4f8f429ff40686e670a93d7fbf2b2d77cb783
2026-03-01T05:18:57.949000+00:00 2026/03/01/[$LATEST]adc7c386f6284871bec443ce118165e0 START RequestId: 23221b22-ee34-4a2c-ac2d-9ccde5bc0475 Version: $LATEST
2026-03-01T05:18:57.952000+00:00 2026/03/01/[$LATEST]adc7c386f6284871bec443ce118165e0 2026-03-01T05:18:57.952Z  23221b22-ee34-4a2c-ac2d-9ccde5bc0475    INFO    {
  version: '2.0',
  type: 'REQUEST',
  routeArn: 'arn:aws:execute-api:ap-northeast-1:123456789012:xxx/main/POST/',
  identitySource: [ 'secret' ],
  routeKey: 'POST /',
  rawPath: '/main/',
  rawQueryString: '',
  headers: {
    accept: '*/*',
    authorization: 'secret',
    'content-length': '17',
    'content-type': 'application/x-www-form-urlencoded',
    host: 'xxx.execute-api.ap-northeast-1.amazonaws.com',
    'user-agent': 'curl/8.7.1',
    'x-amzn-trace-id': 'Root=1-69a3cc41-6fb73814690fbe6a00877c63',
    'x-forwarded-for': 'xxx.xxx.xxx.xxx',
    'x-forwarded-port': '443',
    'x-forwarded-proto': 'https'
  },
  requestContext: {
    // ...
  }
}
2026-03-01T05:18:58.009000+00:00 2026/03/01/[$LATEST]adc7c386f6284871bec443ce118165e0 END RequestId: 23221b22-ee34-4a2c-ac2d-9ccde5bc0475
2026-03-01T05:18:58.010000+00:00 2026/03/01/[$LATEST]adc7c386f6284871bec443ce118165e0 REPORT RequestId: 23221b22-ee34-4a2c-ac2d-9ccde5bc0475    Duration: 59.51 ms  Billed Duration: 219 ms Memory Size: 128 MB Max Memory Used: 74 MB  Init Duration: 158.59 ms

isAuthorizedをfalseにするとブロックされる。

% curl -H "Authorization: secret" -XPOST -d '{"hello":"world"}' https://rthl7n1u4a.execute-api.ap-northeast-1.amazonaws.com/main/
{"message":"Forbidden"}

psqlからClaude Codeを呼び出す

psqlのpagerをteeにしておけば直前のクエリの結果がファイルに記録されるので、それをClaude Codeに食わせられるな…ということでやってみた。

$ psql -h localhost -U postgres

postgres=# \setenv PSQL_PAGER 'tee query.log';
postgres=# \pset pager always

postgres=# explain analyze WITH partition AS (
  SELECT
    i.inhrelid,
    c.relname
  FROM
    pg_catalog.pg_inherits i
    JOIN pg_catalog.pg_class c ON c.oid = i.inhparent
)
SELECT
  c.relname,
  p.relname AS partition_of
FROM
  pg_catalog.pg_class c
  JOIN pg_catalog.pg_namespace n ON n.oid = c.relnamespace
  LEFT JOIN LATERAL (
    SELECT relname FROM partition WHERE inhrelid = c.oid LIMIT 1
  ) AS p ON true
WHERE n.nspname = 'public'
;

postgres=# \! claude "query.logのQUERY PLANを分析して"