質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.78%

AWSアクセスキーの公開・非公開について(Gitに関する根本的なこと)

解決済

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 777

Gr.

score 61

Rails で開発しているアプリを Heroku にデプロイしました。
画像投稿機能を設けるために、クラウドストレージに AWS S3 を利用しようと思います。

アプリでは画像アップローダーとして refile を使っています。
以下の記事を参考に実装していきます。
refile/refile: Ruby file uploads, take 3 - GitHub

※AWSの登録手順は本題から逸れるので割愛し、登録済み(アクセスキー等発行済み)とします。
まず、gem "refile-s3"を Gemfile に追記し、bundle install

次に、config/initializers/refile.rb を作成し、以下を入力。

require "refile/s3"

aws = {
  access_key_id: "アクセスキー",
  secret_access_key: "シークレットアクセスキー",
  region: "ap-northeast-1",
  bucket: "バケット名",
}
Refile.cache = Refile::S3.new(prefix: "cache", **aws)
Refile.store = Refile::S3.new(prefix: "store", **aws)

そして、git add -A, git commit -m 'change', git push heroku master という流れになると思いますが、
ここで、セキュリティに関する疑問が生じました。

上述の config/initializers/refile.rb に自分のAWSのアクセスキー及びシークレットアクセスキーを書いているわけですが、これを git push heroku master してしまうと、以下の記事にあるような不正利用につながる危険があるのでしょうか?

そもそも「秘密キーを git push すると公開されて探されてしまうから危ない」的なことはよく聞きますが、どういうことかよくわかっていません。

heroku にデプロイした自分のアプリは、何か更新があるたびに git push heroku master をしていますが、これによって一回一回 GitHub に自分のアプリに関するデータが公開されているのでしょうか?
だとしたら非公開にする手段はあるのでしょうか?
GitHub に登録?した記憶がないのですが、git push heroku master してるってことは、GitHub に公開されているのでしょうか?

ご覧の通りド素人ですので基本的なことをご教授願います。

参考:GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー!

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+1

gitとGithubは全く別物です。
gitはプログラムなどの変更履歴を管理し、バージョン管理を行うシステムのことで、Githubはgitを利用して世界中の人がプログラムなどにアクセスできるようにしたウェブサービスです。

登録した覚えがないのであれば、リポジトリが見つからないなどのエラーメッセージが出てpush出来ないと思います。

また、Githubには自分の作ったものを公開しておくか、非公開にしておくか選択できるのですが、公開した状態で秘密鍵などを置いておけば他人でも秘密鍵を利用できるのでとても危ないです。

例えるなら自分の家のカギを他人でも使える状態でしょうか。
全く知らない人が自分の家の家具を持ち去ったり出来るのでとても危ないですね。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/06/08 14:49

    marurunnさん
    HerokuのWebサイトにアクセスしてDeployment methodを見てみたところ、Heroku Gitというものを使っていて、GitHubにはコネクトされていませんでした。
    少し調べてみたところ、以下の記事にこのように書かれていました。
    「Heroku 初心者向けのガイダンスには、ローカルのgitリポジトリから、heroku create して git push heroku master することが一般的です。実際にこの方法を使うのは、ちょろっと試すときがほとんどで、それ以外の場合ではGitHubと連携して、Heroku Flowを使っていただくようにおすすめしています。」
    https://qiita.com/sho7650/items/ebd87c5dc2c4c7abb8f0

    たぶんですが、自分のHerokuにあげたアプリはまだGitHubと連携していないようです。
    このような場合でも、やはりキーを書いていると誰かに見られてしまうのでしょうか???

    キャンセル

  • 2019/06/08 15:05

    基本的にキーをクラウド上に置くのはNGです。
    どのようなサービスであろうとシステムであろうとネットを経由する場合、そこには必ず「通信」が発生します。

    物音がたてば何の音かは分からなくとも「聞く」ことはできますよね。
    それと同じで大抵は暗号化された通信を行うので何の音かは分かりませんがキーを「見る」事が出来ます。

    暗号化されている以上復号する事が出来るので、例えばなしの続きで言うと「物音の聞き分け方」さえ分かってしまえばキーを利用する事が出来ます。

    キーはローカル上のみの保存にとどめてください。

    キャンセル

  • 2019/06/08 15:39

    marurunnさん
    たしかに素人が安易にキーを載せるのは大変危険ですね。
    別の方法を考えようと思います。
    いいアドバイスをいただけました。ありがとうございました。

    キャンセル

0

それでさんざんキーを抜かれ、AWSを不正使用されて多額な使用量の請求を受けた、という記事がありましたね
まあ、Giuhubの無料プランではプライベートリポジトリを選択できなかった時代の話ですが、
たとえプライベートが使えるようになったところで、キーをそれと分かる形でクラウドに上げることはしたくないですね

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.78%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る