March 2017
Intermediate to advanced
352 pages
9h 3m
Japanese
Content preview from Infrastructure as Code ―クラウドにおけるサーバ管理の原則とプラクティス
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
14.5
セキュリティ
295
2016 年始めの段階では、変更管理パイプラインで使われるツールの多くが、パイプラインを共有す
るグループの間でアクセスを保護し、分離するという点で不十分である。VCSとアーティファクトリポ
ジトリは、プロジェクトやフォルダをまたがるアクセスを遮断するための機能をある程度持っているこ
とが多い。
しかし、CI、CDオーケストレーションツールの今の世代は、同じインスタンスにホスティングされ
ているよそのプロジェクトへのアクセスを簡単に獲得できてしまうものが多い。ある有名なCIツール
は、データベースアクセスのための認証情報などの暗号化された秘密情報を使ったジョブを構成/ 設定
できるようになっているが、広く使われているプラグインを使えば、ほかのユーザーがあなたの認証情
報を読み出し、復号するジョブを実行できてしまう。
チームごとの権限の分離を守りたい企業は、CI/CDツールの複数のインスタンスを実行した方がよ
いかもしれない。各チームに専用のインスタンスを与えれば、ツールの内部で秘密情報を保護する必
要はなくなる。
14.5.7
クラウドアカウントによるセキュリティリスクのマネジメント
自動インフラストラクチャプラットフォームも攻撃者の格好の攻撃ターゲットになる。誰かがインフ
ラストラクチャリソースを管理するために使われている認証情報を手に入れたら、彼らは大きなダメー
ジを与えられる
*
。幸い、クラウドサービスを使うときのリスクを緩和するプラクティスがいくつかあ
る。パブリックク