のバージョン 5 (V5) AWS Tools for PowerShell がリリースされました。
重要な変更とアプリケーションの移行については、「移行トピック」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Tools for PowerShell に関するその他のセキュリティ上の考慮事項
このトピックでは、前のセクションで説明した内容に加え、セキュリティに関するさらなる考慮事項を取り上げています。
機密情報のログ記録
このツールの操作によっては、環境変数からの情報など、機密性が高いと見なされうる情報が返される場合があります。この情報の公開は、特定のシナリオでセキュリティリスクを提示する可能性があります。例えば、情報が継続的統合と継続的デプロイ (CI/CD) ログに含まれることが考えられます。したがって、ログにこのような出力を含めるときはレビューを行い、不要な場合は出力を控えることが重要となります。機密データの保護の詳細については、「この AWS 製品またはサービスのデータ保護」を参照してください。
バージョン 5 (V5) の AWS Tools for PowerShell が更新され、デフォルトでログから機密情報を除外できるようになりました。機密情報がログに記録される可能性のあるツールの動作に戻す必要がある場合は、次のコマンドを実行して、特定の PowerShell セッションでそれを行うことができます。
Set-AWSConfiguration -RedactSensitiveOutputDisplay $false
以前のツールの動作に戻すと、機密情報がログに記録されるリスクが高まります。この場合、次のベストプラクティスを考慮する必要があります。
-
サーバーレスリソースに関する機密値を環境変数に保存しないでください。代わりに、サーバーレスコードでシークレットストアからシークレットをプログラムで取得します (例: AWS Secrets Manager)。
-
ビルドログの内容を確認して、機密情報が含まれていないことを確認します。コマンド出力を抑制するために、/dev/null へのパイプや、bash または PowerShell 変数への出力のキャプチャといったアプローチを検討してください。
-
ログへのアクセスを検討し、ユースケースに応じてアクセスの範囲を適切に設定します。
