質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Heroku

HerokuはHeroku社が開発と運営を行っているPaaSの名称です。RubyやNode.js、Python、そしてJVMベース(Java、Scala、Clojureなど)の複数のプログラミング言語をサポートしている。

GitHub

GitHubは、Gitバージョン管理システムを利用したソフトウェア開発向けの共有ウェブサービスです。GitHub商用プランおよびオープンソースプロジェクト向けの無料アカウントを提供しています。

Q&A

解決済

2回答

346閲覧

AWSアクセスキーの公開・非公開について(Gitに関する根本的なこと)

Gr.

総合スコア89

Heroku

HerokuはHeroku社が開発と運営を行っているPaaSの名称です。RubyやNode.js、Python、そしてJVMベース(Java、Scala、Clojureなど)の複数のプログラミング言語をサポートしている。

GitHub

GitHubは、Gitバージョン管理システムを利用したソフトウェア開発向けの共有ウェブサービスです。GitHub商用プランおよびオープンソースプロジェクト向けの無料アカウントを提供しています。

0グッド

0クリップ

投稿2019/06/08 04:54

Rails で開発しているアプリを Heroku にデプロイしました。
画像投稿機能を設けるために、クラウドストレージに AWS S3 を利用しようと思います。

アプリでは画像アップローダーとして refile を使っています。
以下の記事を参考に実装していきます。
refile/refile: Ruby file uploads, take 3 - GitHub

※AWSの登録手順は本題から逸れるので割愛し、登録済み(アクセスキー等発行済み)とします。
まず、gem "refile-s3"を Gemfile に追記し、bundle install

次に、config/initializers/refile.rb を作成し、以下を入力。

require "refile/s3" aws = { access_key_id: "アクセスキー", secret_access_key: "シークレットアクセスキー", region: "ap-northeast-1", bucket: "バケット名", } Refile.cache = Refile::S3.new(prefix: "cache", **aws) Refile.store = Refile::S3.new(prefix: "store", **aws)

そして、git add -A, git commit -m 'change', git push heroku master という流れになると思いますが、
ここで、セキュリティに関する疑問が生じました。

上述の config/initializers/refile.rb に自分のAWSのアクセスキー及びシークレットアクセスキーを書いているわけですが、これを git push heroku master してしまうと、以下の記事にあるような不正利用につながる危険があるのでしょうか?

そもそも「秘密キーを git push すると公開されて探されてしまうから危ない」的なことはよく聞きますが、どういうことかよくわかっていません。

heroku にデプロイした自分のアプリは、何か更新があるたびに git push heroku master をしていますが、これによって一回一回 GitHub に自分のアプリに関するデータが公開されているのでしょうか?
だとしたら非公開にする手段はあるのでしょうか?
GitHub に登録?した記憶がないのですが、git push heroku master してるってことは、GitHub に公開されているのでしょうか?

ご覧の通りド素人ですので基本的なことをご教授願います。

参考:GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー!

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

gitとGithubは全く別物です。
gitはプログラムなどの変更履歴を管理し、バージョン管理を行うシステムのことで、Githubはgitを利用して世界中の人がプログラムなどにアクセスできるようにしたウェブサービスです。

登録した覚えがないのであれば、リポジトリが見つからないなどのエラーメッセージが出てpush出来ないと思います。

また、Githubには自分の作ったものを公開しておくか、非公開にしておくか選択できるのですが、公開した状態で秘密鍵などを置いておけば他人でも秘密鍵を利用できるのでとても危ないです。

例えるなら自分の家のカギを他人でも使える状態でしょうか。
全く知らない人が自分の家の家具を持ち去ったり出来るのでとても危ないですね。

投稿2019/06/08 05:06

marurunn

総合スコア702

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Gr.

2019/06/08 05:13

marurunnさん 回答ありがとうございます。  >登録した覚えがないのであれば、リポジトリが見つからないなどのエラーメッセージが出てpush出来ないと思います。 git push heroku master は普通に使えているのですが、それはgithubに登録しているということでしょうか? 一応Githubで普段何かと登録の際に使うメールアドレスでサインインを試みましたが、「そんなアドレスは登録されていない」と出ます。
marurunn

2019/06/08 05:23

herokuが何であるかを自分が知らないので適当なことを言うかもしれませんが、自分以外のだれかのリモートリポジトリにプッシュしているのではないかと思います。 Githubを使ってみるとpushのイメージが掴めると思うので、この機会にGithubに登録してみてはどうでしょうか?
Gr.

2019/06/08 05:49

marurunnさん HerokuのWebサイトにアクセスしてDeployment methodを見てみたところ、Heroku Gitというものを使っていて、GitHubにはコネクトされていませんでした。 少し調べてみたところ、以下の記事にこのように書かれていました。 「Heroku 初心者向けのガイダンスには、ローカルのgitリポジトリから、heroku create して git push heroku master することが一般的です。実際にこの方法を使うのは、ちょろっと試すときがほとんどで、それ以外の場合ではGitHubと連携して、Heroku Flowを使っていただくようにおすすめしています。」 ― https://qiita.com/sho7650/items/ebd87c5dc2c4c7abb8f0 たぶんですが、自分のHerokuにあげたアプリはまだGitHubと連携していないようです。 このような場合でも、やはりキーを書いていると誰かに見られてしまうのでしょうか???
marurunn

2019/06/08 06:05

基本的にキーをクラウド上に置くのはNGです。 どのようなサービスであろうとシステムであろうとネットを経由する場合、そこには必ず「通信」が発生します。 物音がたてば何の音かは分からなくとも「聞く」ことはできますよね。 それと同じで大抵は暗号化された通信を行うので何の音かは分かりませんがキーを「見る」事が出来ます。 暗号化されている以上復号する事が出来るので、例えばなしの続きで言うと「物音の聞き分け方」さえ分かってしまえばキーを利用する事が出来ます。 キーはローカル上のみの保存にとどめてください。
Gr.

2019/06/08 06:39

marurunnさん たしかに素人が安易にキーを載せるのは大変危険ですね。 別の方法を考えようと思います。 いいアドバイスをいただけました。ありがとうございました。
guest

0

それでさんざんキーを抜かれ、AWSを不正使用されて多額な使用量の請求を受けた、という記事がありましたね
まあ、Giuhubの無料プランではプライベートリポジトリを選択できなかった時代の話ですが、
たとえプライベートが使えるようになったところで、キーをそれと分かる形でクラウドに上げることはしたくないですね

投稿2019/06/08 05:01

y_waiwai

総合スコア87719

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問