編集履歴

回答編集履歴

少し分かりやすくした

2018/10/15 05:59

投稿

スコア21158

test CHANGED Viewed

@@ -50,7 +50,7 @@
 本Qiita記事のような知識の無いエンジニアに任せるとアカウント情報をGitHubで管理し始めます。
-(Qiitaの記事執筆者さん、身をもって痛い思いをして勉強したので、もう同じヘマをやらかさないエンジニアに成長出来たと思いますが)
+(Qiitaの記事執筆者さん、身をもって痛い思いをして勉強したので、もう同じヘマはやらかさないでしょう)
@@ -68,19 +68,27 @@
-まぁ、鍵が玄関先にかかってる程度なら良いんですよ、普通はガードマンに金庫まで行ける鍵を渡さないですよね。
+まぁ、大問題ですけど、
+鍵が玄関先にかかってる程度なら良いんですよ、普通はガードマンに金庫まで行ける鍵を渡しませんから。
-大問題ですが金庫にさえ通さななければ金は盗られません。
+金庫にさえ通さななければ金は盗られませんからね。
 このAWSのアカウント情報、IAMというサービスで払い出すのですが、
-Aサービスにはアクセスできるが、Bサービスにはアクセス出来ないという細かく指定が出来ます。
+Aサービスにはアクセスできるが、Bサービスにはアクセス出来ないという条件設定が可能です。
-そうして作った特定の権限だけにアクセス出来るアカウントを払い出して、金庫を開けるような鍵はそもそも作らないわけですよ、ガードマンには巡回してほしい箇所の鍵だけ渡す。
+上記の例ならば、SQSだけ利用するなら、SQSだけ許可にしたアカウントが生成できます。
+つまり金庫を開けるような鍵はそもそも作らないんですよ、
+ガードマンには巡回してほしい箇所の鍵だけ作って渡す。
-仮にやらかしたとしてもそんなにダメージは入りません。
+なので仮にやらかしたとしてもそんなにダメージは大きくありません。
@@ -102,7 +110,27 @@
 まぁ、犯人にしてみれば他人の金で焼き肉を食べるようなもんです。
-アクセスログを追えばどこに送金したかで犯人を捕まえられそうですが、犯人は似たような間抜けなアカウントを次々と乗っ取りバケツリレーのようにしてると思うので中々足がつかないと思います。
+アクセスログを追えばどこに送金したかで犯人を捕まえられそうですが、犯人は似たような間抜けなアカウントを次々と乗っ取りバケツリレーのようにしてるでしょうから中々足がつかないと思います。
+---
+この辺の仕様はAWSにも問題があるんじゃないかなぁと思ってます。
+- アクセスキーへの取り扱いへのアナウンスがゆるい
+- IAMでのアカウント発行をもっと手軽に、セキュアな設定を作れるようにしてなさそう
+これからも新人エンジニアが増えていきますから、
+この辺をどうやって知ってて当然に持っていけるが社会全体の課題なのかもしれません。

ちょっとだけ追加

2018/10/15 05:59

投稿

miyabi-sun

スコア21158

test CHANGED Viewed

@@ -49,6 +49,8 @@
 ところがこのアカウント情報、どうやって本番環境へもっていくねんって所が悩みの種。
 本Qiita記事のような知識の無いエンジニアに任せるとアカウント情報をGitHubで管理し始めます。
+(Qiitaの記事執筆者さん、身をもって痛い思いをして勉強したので、もう同じヘマをやらかさないエンジニアに成長出来たと思いますが)