Tools for PowerShell に関するその他のセキュリティ上の考慮事項 - AWS Tools for PowerShell (バージョン 5)

のバージョン 5 (V5) AWS Tools for PowerShell がリリースされました。

変更の中断とアプリケーションの移行については、「移行トピック」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Tools for PowerShell に関するその他のセキュリティ上の考慮事項

このトピックには、前のセクションで説明したセキュリティトピックに加えて、セキュリティに関する考慮事項が含まれています。

機密情報のログ記録

このツールの一部のオペレーションは、環境変数からの情報など、機密と見なされる可能性のある情報を返す場合があります。この情報の公開は、特定のシナリオでセキュリティリスクを提示する可能性があります。例えば、情報が継続的統合と継続的デプロイ (CI/CD) ログに含まれることが考えられます。したがって、ログにこのような出力を含めるときはレビューを行い、不要な場合は出力を控えることが重要となります。機密データの保護の詳細については、「この AWS 製品またはサービスのデータ保護」を参照してください。

のバージョン 5 (V5) AWS Tools for PowerShell が更新され、デフォルトでログから機密情報を除外できるようになりました。機密情報がログに記録される可能性のあるツールの動作に戻す必要がある場合は、次のコマンドを実行して、特定の PowerShell セッションでそれを行うことができます。

Set-AWSConfiguration -RedactSensitiveOutputDisplay $false

以前のツールの動作に戻すと、機密情報がログに記録されるリスクが高まります。この場合、次のベストプラクティスを考慮する必要があります。

  • サーバーレスリソースの機密値を保存するために環境変数を使用しないでください。代わりに、サーバーレスコードでシークレットストアからシークレットをプログラムで取得します (例: AWS Secrets Manager)。

  • ビルドログの内容を確認して、機密情報が含まれていないことを確認します。コマンド出力を抑制するには、/dev/null へのパイプ処理や、出力を bash または PowerShell 変数としてキャプチャするなどのアプローチを検討してください。

  • ログへのアクセスを検討し、ユースケースに応じてアクセスの範囲を適切に設定します。