Q&A
AWS WorkSpaces にWPFアプリを配置して、AWSサービスへのアクセスをさせたいです。できるだけセキュアでシンプルな形が望ましいです。
・WorkSpacesにWPFアプリを配置します。
・WorkSpacesのユーザにはIAMへの紐づけはありません。
(SAMLなどを使うなどAD経由等別な認証はしない方針です)
・WPFアプリのみにIAM権限を与えたいです。
(WPFアプリ内で、細かいアクセス制御等をする)
・アプリから利用するAWSサービスはS3、SSMです。
検討していること
・IAMのアクセスキーを暗号化する
・暗号化した情報をコンフィグとして保持する
・複合化キーはWPFアプリに入れる
・AWSサービスアクセスの際に複合化してアクセスする
・定期的にIAMのアクセスキーを変更して、コンフィグを入れ替える
気になること
・IAMのアクセスキーを暗号化するのは、AWSの設計として一般的ではない
・複合化キーをリテラルで書いても簡単には解析されないか
(WorkSpaces内へのアプリの追加はない)
質問
・より良い案があればお願いしたいです。
・クリティカルな問題があればご指摘いただきたいです。
回答1件
0
WPFアプリについてはあまりよくわかりませんが、一般的にクライアントアプリケーションにアクセスキーを埋め込むのはセキュリティ上問題があるので避けるべきです。
モバイルアプリではCognitoを使ってWEB IDフェデレーションで外部のIdPを使って認証が通った時に必要な一時権限を与えるように処理しています。
が、IdPが使えるわけではないと思うのでこのケースは直接は使えませんね。
いずれにしても一時的な認証情報を発行してアクセス時にだけ使用する、が現実的なところかなと思います。
参考になるかはわかりませんが、AWSのドキュメントを貼っておきます
一時的セキュリティ認証情報
一時認証情報を使用するサンプルアプリケーション
cliで一時クレデンシャルを発行することもできます(SDKでもできるはずですが割愛)
直接の解決になるかわかりませんが、参考になりましたら。
投稿2019/10/31 09:06
総合スコア7588
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/10/31 09:28
2019/10/31 09:36