Q&A
ご回答ありがとうございます!
最も具体的かつ、有益な情報量が多かったのでベストアンサーにさせていただきました。
ckeghemさんもご回答ありがとうございました。
大変勉強になりました。
Webサーバーに接続情報を記述したファイルを置いて、
CIツールで実行フォルダを生成する際にcpしようと思います。
助かりました。
前提・実現したいこと
すいません。
かなり初歩的な事で大変申し訳ありませんが、
ご了承下さい。。
現在Gitを用いてアプリケーションの開発を行なっているのですが、
そのアプリケーションの中にプロパティファイルが有り、
その中に記述してあるRDSのエンドポイント、ユーザー名、パスワードを使ってDBの接続を行なっています。
前提として、
EC2の上にアプリケーションを乗せており、
そちらをパブリックなサブネットにしIGWでhttpできるように、
RDSをそのEC2からのみの許可とし、
プライベートなサブネットとして構成しています。
アウトプットの一環として今回作ったそのアプリケーションを公開したいと思うのですが、
セキュリティの観点から見て、
DBへの接続情報が誰でも見れる状態で書いてあるのは不味いのではないか?と思い、
質問させていただきました。
インバウンドルールでEC2へのSSHはMyIPしか許していないので、
SQLは発行出来ないので大丈夫(?)と思っているのですが、
実際はどうなのでしょうか。。
セキュリティに関して本当に疎くて申し訳ないのですが、
もしこれが危険な行為であるとするなら何か代替案等もいただけると助かります。
また、他の方がどういったようにされているのかも教えていただけると幸いです。
よろしくお願いします。
回答3件
0
ご指摘のようにリスクがものすごくあるわけではありませんが、公開情報にパスワードを含んでもそれを見た人に役に立つわけでもなく心配になるだけなので、公開しない運用が求められます。それに、「大丈夫なはず」という判断が間違っている場合もありますからね。
仮に、 .env に設定があるとしたら、これは非公開にしておいて、公開用に別途 .env.example というファイルを用意しておき、こちらには設定の例示が書いてあり、インストールする際は .env.example を .env にリネームした上で環境に即した値を入れてください、というのが古来から伝わる方法です。
投稿2021/09/17 02:01
総合スコア11705
0
ベストアンサー
一般的な対応という所でやると
プログラム側は環境変数を参照したり、
Gitの管理対象外のファイルで管理します。
Gitの.gitignore等でconfigファイルを弾きます。
config.example等とファイル名を変更して
ローカルで動作するid: root, password: passwordみたいなファイルにして基本的にはこちらで管理します。
README.mdファイルにcp config.example configをやってね的な事を記述しておくと良いでしょう。
さて残った本番環境の接続情報がバッチリ載っている企業の機密情報の塊的なconfigファイル
これは社内サーバやAWSのクラウドストレージ等が候補となります。
AWSのECSだとSystems Managerという
機密データをピンポイントで管理するようなサービスも存在します。
これはECS専用ですけどね。
EC2とかなら社内で許可を貰ってS3保存とかで良いんじゃないでしょうか?
投稿2021/09/17 03:19
総合スコア21203
0
DBへの接続情報が誰でも見れる状態で書いてあるのは不味いのではないか?
そのとおりです。書くことによるメリットがまったくないので、デメリットしかありません。
投稿2021/09/17 01:54
総合スコア146018
うーん、メリットが無い事は当然分かっているのですが、みなさんはどのように対策なされてるのでしょう?
CIツールでデプロイする際に環境変数から接続情報をセットするのが一般的なのでしょうか?
何か代替案もいただけると助かります。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。