AWSのアクセスキー・シークレットアクセスキーをプログラムに安全に埋め込む（埋め込まない）方法 - プログラマでありたい

AWSでやらかす系の事故で、もっとも恐ろしいものの一つに、アクセスキー・シークレットアクセスキーの流出があります。これは、多くの場合プログラム中にアクセスキー・シークレットアクセスキーを埋め込んだままGitHub等の公開リポジトリに登録することで起こります。GitHubを監視しているBotがカモを待ち受けているので、キーを発見するやいなや不正利用して可能な限りのインスタンスを立ち上げます。そして、BitCoin等の採掘などに利用します。気が付かないと、一晩で100万円近くの請求という話もあったようです。 AWSのアクセスキーの流出を防ぐ方法 このアクセスキーの流出は、AWSの仕組みを知っていると、ほぼ被害は防げます。という事、基本的な部分をおさらいしましょう。アクセスキーではなく、IAMロールを使うというのが基本ですが、どうしても使わざるをえない場合は、下記のルールを守ってください。 守る

[dkfj]

意外に知らないAWSのアクセスキーの環境変数の話

[hirata_yasuyuki]

AWSのSDKが環境変数を見る仕様だと、バイナリで配布されている怪しいソフトが狙いに来そうだ。

[megazalrock]

安全な方法が分かってても「まぁとりあえずキー書いとくか…。」とかやってて忘れるのが人間なので、最初の一手から安全な方法にしておきたい。

[yamitzky]

Vault使うと、ローカルで永続的なアクセスキー使う機会なくなって良かったりする

[honeybe]

「環境変数から読み込む」まって！インスタンスロール使って！(使えない事情があるなら別だけど)

[naglfar]

インフラと仲が悪くて……できないんだ……。