新規投稿
フォローする

セキュアコーディングガイドラインの認証情報の推奨する保存先について

セキュアコーディング ガイドライン – cybozu developer network

https://developer.cybozu.io/hc/ja/articles/201919400-%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%82%B3%E3%83%BC%E3%83%87%E3%82%A3%E3%83%B3%E3%82%B0-%E3%82%AC%E3%82%A4%E3%83%89%E3%83%A9%E3%82%A4%E3%83%B3#step8

「推奨する保存先
バックエンド(サーバー内のデータベースやサーバレスプラットフォームなど)」

という記載があります。

AWS Lambda (と AWS Secrets Manager)に保存しようかとおもったのですが、外部サービスのAPIトークンを返す関数をつくっても、Lambdaを呼び出す先のURLをkintoneのカスタマイズ内に書く必要はあると考えました。

Lambdaを実行するのにAPIトークンを必須にすることも考えましたが、結局そのAPIトークンをカスタマイズ内に書く必要があります。

ガイドラインで書いてある、外部サービスの認証情報をサーバーレスプラットフォームなどで秘匿するというのは

「外部サービスのAPIトークンを返却する仕組みをつくる」

のではなく

「外部サービスの実行そのものをLambdaで行う」

ことをさしているのでしょうか?

APIトークンそのものはLambda側に置くため秘匿できるが、意図しない実行は阻止できない(引数などを調整して外部サービスの実行・データ取得されてしまう可能性)という理解でよいでしょうか?

 

類似の質問は参照しています。

外部APIの認証情報を秘匿化する方法について – cybozu developer network
https://developer.cybozu.io/hc/ja/community/posts/205714786-%E5%A4%96%E9%83%A8API%E3%81%AE%E8%AA%8D%E8%A8%BC%E6%83%85%E5%A0%B1%E3%82%92%E7%A7%98%E5%8C%BF%E5%8C%96%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6

1

0件のコメント

サインインしてコメントを残してください。