この記事は、 ギルドワークス アドベントカレンダー の10日目の記事です。
業務でAWSを触ることもあり、AWSクレデンシャル情報に触れる機会も増えてきました。
AWSアクセスキーの漏洩の話を聞くこともときどきあり、漏洩を未然に防ぐために git-secrets というツールを設定したときのメモになります。
インストール
macOSでHomebrew環境の場合、下記を実行でインストールが完了します。
$ brew update
$ brew install git-secrets
設定
以下のコマンドを実行し、AWSアクセスキーの標準パターンをGitの設定ファイルに書き込みます。
git secrets –register-aws –global
下記の様に、~/.gitconfigに設定が追記されたら成功です。
[secrets]
providers = git secrets –aws-provider
patterns = [A-Z0-9]{20}
patterns = (“|’)?(AWS|aws|Aws)?_?(SECRET|secret|Secret)?_?(ACCESS|access|Access)?_?(|key|Key)(“|’)?s*(:|=>|=)s*(“|’)?[A-Za-z0-9/+=]{40}(“|’)?
patterns = (“|’)?(AWS|aws|Aws)?_?(ACCOUNT|account|Account)_?(id|Id)?(“|’)?s*(:|=>|=)s*(“|’)?[0-9]{4}-?[0-9]{4}-?[0-9]{4}(“|’)?
allowed = AKIAIOSFODNN7EXAMPLE
allowed = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
allowedの行にあるのは、AWS自身が公式ドキュメントで使用している アクセスキーのサンプル みたいです。
実行してみる
1つ目のパターン
[A-Z0-9]{20}
README.mdに以下を記述し、git commitを実行すると警告が表示されます。
00000000000000000000
XXXXXXXXXXXXXXXXXXXX
XXXXXXXXXX
以下のような警告が表示され、README.mdの1行目と2行目が原因でコミットができなくなります。
README.md:1:00000000000000000000
README.md:2:XXXXXXXXXXXXXXXXXXXX[ERROR] Matched one or more prohibited patterns
Possible mitigations:
– Mark false positives as allowed using: git config –add secrets.allowed …
– Mark false positives as allowed by adding regular expressions to .gitallowed at repository’s root directory
– List your configured patterns: git config –get-all secrets.patterns
– List your configured allowed patterns: git config –get-all secrets.allowed
– List your configured allowed patterns in .gitallowed at repository’s root directory
– Use –no-verify if this is a one-time false positive
2つ目のパターン
(“|’)?(AWS|aws|Aws)?_?(SECRET|secret|Secret)?_?(ACCESS|access|Access)?_?(|key|Key)(“|’)?s*(:|=>|=)s*(“|’)?[A-Za-z0-9/+=]{40}(“|’)?
README.mdに以下を記述し、git commitを実行すると警告が表示されます。
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
aws_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
access_key_id: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
aws_secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
secret_access_key_id: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
以下のような警告が表示され、README.mdの3行目、5行目、8行目、10行目が原因でコミットができなくなります。
README.md:3:access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
README.md:5:aws_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
README.md:8:secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
README.md:10:aws_secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’[ERROR] Matched one or more prohibited patterns
Possible mitigations:
– Mark false positives as allowed using: git config –add secrets.allowed …
– Mark false positives as allowed by adding regular expressions to .gitallowed at repository’s root directory
– List your configured patterns: git config –get-all secrets.patterns
– List your configured allowed patterns: git config –get-all secrets.allowed
– List your configured allowed patterns in .gitallowed at repository’s root directory
– Use –no-verify if this is a one-time false positive
3つ目のパターン
(“|’)?(AWS|aws|Aws)?_?(ACCOUNT|account|Account)_?(id|Id)?(“|’)?s*(:|=>|=)s*(“|’)?[0-9]{4}-?[0-9]{4}-?[0-9]{4}(“|’)?
README.mdに以下を記述し、git commitを実行すると警告が表示されます。
0000-0000-0000
aws_account: ‘0000-0000-0000’
aws_account: ‘0000-0000-000’
aws_account: ‘000000000000’
aws_account: ‘0000000000001’
aws_account_id: ‘0000-0000-0000’
AWS_ACCOUNT_ID: ‘0000-0000-0000’
aws_ACCOUNT_id: ‘0000-0000-0000’
aws_ACCOunt_id: ‘0000-0000-0000’
以下のような警告が表示され、README.mdの2行目、4行目、6行目、7行目、8行目が原因でコミットができなくなります。
README.md:2:aws_account: ‘0000-0000-0000’
README.md:4:aws_account: ‘000000000000’
README.md:6:aws_account_id: ‘0000-0000-0000’
README.md:7:AWS_ACCOUNT_ID: ‘0000-0000-0000’
README.md:8:aws_ACCOUNT_id: ‘0000-0000-0000’[ERROR] Matched one or more prohibited patterns
Possible mitigations:
– Mark false positives as allowed using: git config –add secrets.allowed …
– Mark false positives as allowed by adding regular expressions to .gitallowed at repository’s root directory
– List your configured patterns: git config –get-all secrets.patterns
– List your configured allowed patterns: git config –get-all secrets.allowed
– List your configured allowed patterns in .gitallowed at repository’s root directory
– Use –no-verify if this is a one-time false positive
最後に
git-secretsの設定はリポジトリごとに.git/configファイルを編集することで、各リポジトリにallowedやpatternsを設定することができます。ローカル環境全体でgit-secretsを有効にしつつ、細かい例外を各リポジトリごとに設定することで、柔軟に運用することができます。
最悪の事態を未然に防ぐためのツールとして、一度試してみてはいかがでしょうか。
この記事をシェア
この記事もどうですか?
-
WordPressの未来を考えるカンファレンス WordCamp Kansai 2016
WordPressとは WordPressは、今や世界でシェア26.4%(コンテンツ・マネジメント・システムの中ではシェア 59.5%) (*1)であり、公開されているサイトの4つに1つはWordPressということになります。仕事での開発…
-
関係の質を上げるスモールトーク
この記事は、 ギルドワークス アドベントカレンダー の4日目の記事です。 今回は、スモールトーク(雑談)の紹介をします。 なにそれ? 毎週日曜日の朝1時間程度の市谷と私の2人のオンラインミーティングです。 この「スモールトーク」の名付け親は…
-
MVP Award 受賞者インタビュー:第2回最優秀賞『Co-LABO MAKER』 〜これぞ仮説検証のなせるワザ!応募してからが面白い「MVP Award」受賞者の声〜
第二回最優秀賞を受賞した『 Co-LABO MAKER 』が「 MVP Award 」に応募してから1年が経ちました。今年はいよいよ開発が始まる段階となり、現在ギルドワークスでは要件定義とマネジメント部分をサポートしています。 「MVP A…