この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、AWS事業本部の平井です。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります
[CodeBuild.1] CodeBuild GitHub or Bitbucket source repository URLs should use OAuth
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
修正手順
1 ステークホルダーに確認
まずはステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- ビルドプロジェクトに対して、OAuthを使い、GitHubやBitbucketのソースリポジトリへのアクセスを許可してよいか確認する
- リポジトリURLにアクセストークンやユーザー名/パスワードを含めることは、認証情報漏洩のリスクがあり行うべきではありません。
※設定変更後、業務に影響が出る可能性があります。そのため、社内で注意深く確認と対応して下さい。
対象のビルドプロジェクトの確認方法
- AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「CodeBuild.1」を検索し、タイトルを選択します。
- リソースの欄から失敗しているCodeBuildプロジェクトが確認できます。
- CodeBuildのコンソールを開くと、対象のビルドプロジェクトの詳細が確認できます。
2 OAuthを用いて、リポジトリを認証
今回は例として、個人用のアクセストークンでの接続を無効化し、OAuth を使って、GitHub のソースリポジトリへのアクセスを許可します。
- 対象のビルドプロジェクトの[編集]から、[ソース]を選択します。
- 接続ステータスが
個人用のアクセストークンを使用してGitHubに接続しています。と記載があることを確認し、[GitHub から切断する]をクリックし、切断します。
- [OAuth を使用して接続する]を選択し、[GitHub に接続]をクリックします。
- [Authorize aws-codesuite]をクリックし、承認します。
- [確認]をクリックします。
- 接続ステータスが
OAuthを使用してGitHubに接続しています。になったことを確認し、[ ソースの更新]をクリックし、更新します。
- ビルドを行い、問題ないことを確認します。
これで、OAuthを用いて、リポジトリを認証することができました!
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。
以上、平井でした!
2
