この記事は、 ギルドワークス アドベントカレンダー の10日目の記事です。
業務でAWSを触ることもあり、AWSクレデンシャル情報に触れる機会も増えてきました。
AWSアクセスキーの漏洩の話を聞くこともときどきあり、漏洩を未然に防ぐために git-secrets というツールを設定したときのメモになります。
インストール
macOSでHomebrew環境の場合、下記を実行でインストールが完了します。
$ brew update
$ brew install git-secrets
設定
以下のコマンドを実行し、AWSアクセスキーの標準パターンをGitの設定ファイルに書き込みます。
git secrets –register-aws –global
下記の様に、~/.gitconfigに設定が追記されたら成功です。
[secrets]
providers = git secrets –aws-provider
patterns = [A-Z0-9]{20}
patterns = (“|’)?(AWS|aws|Aws)?_?(SECRET|secret|Secret)?_?(ACCESS|access|Access)?_?(|key|Key)(“|’)?s*(:|=>|=)s*(“|’)?[A-Za-z0-9/+=]{40}(“|’)?
patterns = (“|’)?(AWS|aws|Aws)?_?(ACCOUNT|account|Account)_?(id|Id)?(“|’)?s*(:|=>|=)s*(“|’)?[0-9]{4}-?[0-9]{4}-?[0-9]{4}(“|’)?
allowed = AKIAIOSFODNN7EXAMPLE
allowed = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
allowedの行にあるのは、AWS自身が公式ドキュメントで使用している アクセスキーのサンプル みたいです。
実行してみる
1つ目のパターン
[A-Z0-9]{20}
README.mdに以下を記述し、git commitを実行すると警告が表示されます。
00000000000000000000
XXXXXXXXXXXXXXXXXXXX
XXXXXXXXXX
以下のような警告が表示され、README.mdの1行目と2行目が原因でコミットができなくなります。
README.md:1:00000000000000000000
README.md:2:XXXXXXXXXXXXXXXXXXXX[ERROR] Matched one or more prohibited patterns
Possible mitigations:
– Mark false positives as allowed using: git config –add secrets.allowed …
– Mark false positives as allowed by adding regular expressions to .gitallowed at repository’s root directory
– List your configured patterns: git config –get-all secrets.patterns
– List your configured allowed patterns: git config –get-all secrets.allowed
– List your configured allowed patterns in .gitallowed at repository’s root directory
– Use –no-verify if this is a one-time false positive
2つ目のパターン
(“|’)?(AWS|aws|Aws)?_?(SECRET|secret|Secret)?_?(ACCESS|access|Access)?_?(|key|Key)(“|’)?s*(:|=>|=)s*(“|’)?[A-Za-z0-9/+=]{40}(“|’)?
README.mdに以下を記述し、git commitを実行すると警告が表示されます。
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
aws_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
access_key_id: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
aws_secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
secret_access_key_id: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
以下のような警告が表示され、README.mdの3行目、5行目、8行目、10行目が原因でコミットができなくなります。
README.md:3:access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
README.md:5:aws_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
README.md:8:secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’
README.md:10:aws_secret_access_key: ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’[ERROR] Matched one or more prohibited patterns
Possible mitigations:
– Mark false positives as allowed using: git config –add secrets.allowed …
– Mark false positives as allowed by adding regular expressions to .gitallowed at repository’s root directory
– List your configured patterns: git config –get-all secrets.patterns
– List your configured allowed patterns: git config –get-all secrets.allowed
– List your configured allowed patterns in .gitallowed at repository’s root directory
– Use –no-verify if this is a one-time false positive
3つ目のパターン
(“|’)?(AWS|aws|Aws)?_?(ACCOUNT|account|Account)_?(id|Id)?(“|’)?s*(:|=>|=)s*(“|’)?[0-9]{4}-?[0-9]{4}-?[0-9]{4}(“|’)?
README.mdに以下を記述し、git commitを実行すると警告が表示されます。
0000-0000-0000
aws_account: ‘0000-0000-0000’
aws_account: ‘0000-0000-000’
aws_account: ‘000000000000’
aws_account: ‘0000000000001’
aws_account_id: ‘0000-0000-0000’
AWS_ACCOUNT_ID: ‘0000-0000-0000’
aws_ACCOUNT_id: ‘0000-0000-0000’
aws_ACCOunt_id: ‘0000-0000-0000’
以下のような警告が表示され、README.mdの2行目、4行目、6行目、7行目、8行目が原因でコミットができなくなります。
README.md:2:aws_account: ‘0000-0000-0000’
README.md:4:aws_account: ‘000000000000’
README.md:6:aws_account_id: ‘0000-0000-0000’
README.md:7:AWS_ACCOUNT_ID: ‘0000-0000-0000’
README.md:8:aws_ACCOUNT_id: ‘0000-0000-0000’[ERROR] Matched one or more prohibited patterns
Possible mitigations:
– Mark false positives as allowed using: git config –add secrets.allowed …
– Mark false positives as allowed by adding regular expressions to .gitallowed at repository’s root directory
– List your configured patterns: git config –get-all secrets.patterns
– List your configured allowed patterns: git config –get-all secrets.allowed
– List your configured allowed patterns in .gitallowed at repository’s root directory
– Use –no-verify if this is a one-time false positive
最後に
git-secretsの設定はリポジトリごとに.git/configファイルを編集することで、各リポジトリにallowedやpatternsを設定することができます。ローカル環境全体でgit-secretsを有効にしつつ、細かい例外を各リポジトリごとに設定することで、柔軟に運用することができます。
最悪の事態を未然に防ぐためのツールとして、一度試してみてはいかがでしょうか。
この記事をシェア
この記事もどうですか?
-
ユーザーのインサイトに迫るための4つの道具
市谷です。 想定しているユーザーが何を求めるのか、ユーザーの立場に踏み込むための道具がいくつかあります。今回はGWで利用している道具立てをいくつかの切り口で分類してみます。 切り口は「ユーザーの感情ベースか、行動ベースで捉えるのか」また「時…
-
ドメインモデル中心のアーキテクチャ
ギルドワークスの増田です。 河上さんが書いていた ヘキサゴナルアーキテクチャ に関連して、ドメインモデル中心のアーキテクチャについて考えてみます。 「ドメイン駆動設計」本のアーキテクチャへの疑問 私の設計の考え方は、6年ほど前に出会ったエリ…
-
「正しいものを正しくつくる」ための考え方・道具を整理してみた
ギルドワークスの佐々木です。 私は、2010年度に 産業技術大学院大学の履修証明プログラム「人間中心デザイン」 を履修していました。デザインとはなんぞや?も分からぬまま、デザイナーやディレクターの方々に混じってエンジニアという立場で参加して…