2017-02-08 21 views
1

GithubのプライベートレポにAWS秘密鍵を格納しているアプリがあります。秘密鍵の管理

私たちのコンピュータのうちの1台が爆発すると、私たちはそのキーにアクセスすることができないため、これが推奨されました。

Githubに保存する代わりに、秘密鍵を共有するためにコンピュータを渡したり、私的な会社の余裕をもってコンピュータを渡すことができます。

これらはすべてキーを管理するのに悪い方法のようです。

秘密鍵の格納やチームメンバーとの共有に適したリポジトリ/ボールトまたは方法がありますか?

答えて

1

コードで資格情報を保存することは避けてください。非常に脆弱になり、結果が不可逆的になる可能性があります。開発のためだけにアクセス権とキーを使用することがIAMロールを使用する方がはるかに優れています。開発者ごとに異なるキーを使用することが望ましいため、必要に応じて回転できます。

詳細については、AWS Security Best Practicesホワイトペーパーを参照してください。

1

1Password for Teamsを使用すると、暗号化されたパスワードで保護された格納域で秘密を共有できます。

コンピュータが爆発した場合、AWSユーザーを自分のアカウントからロックする危険性は非常に低いです。いずれの場合でも、アカウント所有者は、アカウント内の任意のIAMユーザーの新しいAWSキーセットを再生成できます。アカウント所有者がAWSアカウントに接続できる限り、あなたは安全です。

+0

Simon 1passwordを使って誰かと秘密鍵を共有するにはどうすればいいですか? – Growler

0

多くの秘密のように、キーは可能な限り共有しないでください。 AWSのユーザーの場合は

  1. 各ユーザー(従業員など、チームメイトは、)彼らのために作成した自分のIAMユーザーを持っている必要があります。
  2. 各IAMユーザーは、独自のアクセスキー/秘密のセットを生成し、そのユーザーだけが利用できます。
  3. キーが共有されないので、彼らが危険にさらされている場合、その後、

    キーが共有されないので
    1. 、それは彼らが誤って漏洩した取得するのは難しいです:

    は、このシステムには多くのメリットがありますその1人のユーザーだけが影響を受けます。他のチームメイトは影響を受けません。

  4. 各IAMユーザーには、それぞれ独自の要件に基づいて異なる権限を与えることができます。
  5. CloudTrailを使用すると、各ユーザーがAWSアカウントで行ったことを監査できます。

ソース管理(gitなど)でこれを保存しないでください。

0

キー管理の第1のルールは、キーが格納されている場所の数を最小限に抑えることです。だから、AWSキーのようなもののために、開発者は自分のマシンに自分のキーを格納する必要があります。アプリサーバーに必要なキーの場合、それらのキーはアプリサーバーにのみ保存する必要があります。

私たちのコンピュータのうちの1台が「爆破する」と、私たちは鍵にアクセスできないため、これが推奨されました。

この問題を解決する最善の方法は、キーを回転させることです。理想的には、セキュリティイベントの場合など、必要に応じて新しいキーを素早く簡単に生成できる場所に常駐するのが理想的です。あなたが紛失した場合に完全に壊れたマスターキーがある場合は、1Passwordのような安全なストレージアプリに保管してください。そこには、ボールトが追加のパスワードで暗号化されています。

Githubに保存する代わりに、秘密鍵を共有するためにコンピュータを渡したり、私的な会社の余裕を持って送信することができます。

これらはすべてキーを管理するのに悪い方法のようです。

一般的に、AWSキー(または他の機密キーまたはパスワード)はGithubまたはSlack社に保存しないでください。スラックで共有しているものはすべてログに永遠に残っているので、スラックが侵害された場合やスラックが侵害された場合、ログに潜んでいるものは潜在的な攻撃者が利用できます。

秘密鍵の格納とチームメンバーとの共有に適したリポジトリ/ボールトまたは方法がありますか?

キー(長期保存)を保存するには、1つのパスワードなどを使用します。共有鍵(短期記憶)の場合は、ShareSecret(免責事項、私はShareSecretの創始者です)のようなものを使用してください。