回答編集履歴
2
少し分かりやすくした
test
CHANGED
@@ -50,7 +50,7 @@
|
|
50
50
|
|
51
51
|
本Qiita記事のような知識の無いエンジニアに任せるとアカウント情報をGitHubで管理し始めます。
|
52
52
|
|
53
|
-
(Qiitaの記事執筆者さん、身をもって痛い思いをして勉強したので、もう同じヘマ
|
53
|
+
(Qiitaの記事執筆者さん、身をもって痛い思いをして勉強したので、もう同じヘマはやらかさないでしょう)
|
54
54
|
|
55
55
|
|
56
56
|
|
@@ -68,19 +68,27 @@
|
|
68
68
|
|
69
69
|
|
70
70
|
|
71
|
-
まぁ、
|
71
|
+
まぁ、大問題ですけど、
|
72
72
|
|
73
|
+
鍵が玄関先にかかってる程度なら良いんですよ、普通はガードマンに金庫まで行ける鍵を渡しませんから。
|
74
|
+
|
73
|
-
|
75
|
+
金庫にさえ通さななければ金は盗られませんからね。
|
74
76
|
|
75
77
|
|
76
78
|
|
77
79
|
このAWSのアカウント情報、IAMというサービスで払い出すのですが、
|
78
80
|
|
79
|
-
Aサービスにはアクセスできるが、Bサービスにはアクセス出来ないという
|
81
|
+
Aサービスにはアクセスできるが、Bサービスにはアクセス出来ないという条件設定が可能です。
|
80
82
|
|
81
|
-
|
83
|
+
上記の例ならば、SQSだけ利用するなら、SQSだけ許可にしたアカウントが生成できます。
|
82
84
|
|
85
|
+
|
86
|
+
|
87
|
+
つまり金庫を開けるような鍵はそもそも作らないんですよ、
|
88
|
+
|
89
|
+
ガードマンには巡回してほしい箇所の鍵だけ作って渡す。
|
90
|
+
|
83
|
-
仮にやらかしたとしてもそんなにダメージは
|
91
|
+
なので仮にやらかしたとしてもそんなにダメージは大きくありません。
|
84
92
|
|
85
93
|
|
86
94
|
|
@@ -102,7 +110,27 @@
|
|
102
110
|
|
103
111
|
まぁ、犯人にしてみれば他人の金で焼き肉を食べるようなもんです。
|
104
112
|
|
105
|
-
アクセスログを追えばどこに送金したかで犯人を捕まえられそうですが、犯人は似たような間抜けなアカウントを次々と乗っ取りバケツリレーのようにしてる
|
113
|
+
アクセスログを追えばどこに送金したかで犯人を捕まえられそうですが、犯人は似たような間抜けなアカウントを次々と乗っ取りバケツリレーのようにしてるでしょうから中々足がつかないと思います。
|
114
|
+
|
115
|
+
|
116
|
+
|
117
|
+
---
|
118
|
+
|
119
|
+
|
120
|
+
|
121
|
+
この辺の仕様はAWSにも問題があるんじゃないかなぁと思ってます。
|
122
|
+
|
123
|
+
|
124
|
+
|
125
|
+
- アクセスキーへの取り扱いへのアナウンスがゆるい
|
126
|
+
|
127
|
+
- IAMでのアカウント発行をもっと手軽に、セキュアな設定を作れるようにしてなさそう
|
128
|
+
|
129
|
+
|
130
|
+
|
131
|
+
これからも新人エンジニアが増えていきますから、
|
132
|
+
|
133
|
+
この辺をどうやって知ってて当然に持っていけるが社会全体の課題なのかもしれません。
|
106
134
|
|
107
135
|
|
108
136
|
|
1
ちょっとだけ追加
test
CHANGED
@@ -49,6 +49,8 @@
|
|
49
49
|
ところがこのアカウント情報、どうやって本番環境へもっていくねんって所が悩みの種。
|
50
50
|
|
51
51
|
本Qiita記事のような知識の無いエンジニアに任せるとアカウント情報をGitHubで管理し始めます。
|
52
|
+
|
53
|
+
(Qiitaの記事執筆者さん、身をもって痛い思いをして勉強したので、もう同じヘマをやらかさないエンジニアに成長出来たと思いますが)
|
52
54
|
|
53
55
|
|
54
56
|
|