Ruby on Rails(しばしば単にRailsと呼ばれる)は、Rubyプログラミング言語に基づいて構築された強力なWebアプリケーションフレームワークである。その主な特徴の1つは、暗号化されたクレデンシャルによってAPIキーやデータベース資格情報などの機密データを安全に管理できることです。このガイドは、Railsのクレデンシャルシステムの扱い方を理解するために初心者向けに設計されており、クレデンシャルの編集と暗号化された秘密の効果的な管理に焦点を当てています。最後には、Railsアプリケーションで機密情報を安全に扱う方法を、実践的な例とベストプラクティスとともに明確に理解できるようになるでしょう。
この記事では、Railsアプリケーションのセットアップ方法やディレクトリ構造の操作方法など、RubyとRailsの基本的な理解があることを前提としています。Railsが初めての方は、公式の ルビー・オン・レール 基礎知識のためのガイドRailsのクレデンシャルと暗号化された秘密の世界に飛び込んでみましょう!
Railsのクレデンシャルと暗号化された秘密を理解する
Railsクレデンシャルとは?
Railsクレデンシャルは、アプリケーションが機能するために必要なAPIキー、パスワード、トークンなどの機密情報を安全に保存する方法を提供します。ソースコードにハードコードされた値や暗号化されていない設定ファイルとは異なり、Railsクレデンシャルは暗号化されて config/credentials.yml.enc.このファイルは暗号化されているため、バージョン管理(Gitなど)にコミットしても安全であり、機密データが漏洩することはない。
暗号化はマスター・キーを使って管理される。 config/master.key または環境固有のキー(例. config/credentials/production.key).マスター・キーはクレデンシャル・ファイルの暗号化と復号化に使用される。 決して あなたの秘密への不正アクセスを防ぐため、バージョン管理にコミットする。
Railsにおける秘密管理の進化
Rails 5.1以前では、機密データはしばしば config/secrets.ymlこれは暗号化されておらず、誤ってリポジトリにコミットした場合にセキュリティ上のリスクがありました。Rails 5.1では暗号化されたシークレットが導入され、Rails 5.2以降ではこれが改良され、現在私たちが使っているクレデンシャルシステムになりました。Rails 6以降では環境固有のクレデンシャルを管理できるようになり、開発環境、テスト環境、本番環境で別々のシークレットを使用できるようになりました。この進化は、機密データを安全に共有するのが面倒だったチーム環境での課題に対処したものです。
暗号化クレデンシャルを使用する理由
暗号化されたクレデンシャルは、いくつかの問題を解決する:
- セキュリティ 機密データは暗号化され、漏洩のリスクを低減します。
- バージョン管理: 暗号化された
credentials.yml.encファイルを安全にGitにコミットすることができる。 - チームコラボレーション: 開発者は、(パスワード・マネージャーなどを介して)安全に共有されたマスター・キーを使用することで、秘密を暴露することなくコードベースを共有することができる。
- 環境特有の秘密: Railsは環境ごとに別々の認証情報をサポートし、デプロイを簡素化します。
Railsの認証情報を設定する
新しいRailsアプリケーションの作成
RubyとRailsがインストールされていることを確認してください。バージョンは
バッシュ ruby -v レール -v
Railsがインストールされていない場合は、次の方法でインストールする:
バッシュ railsをインストールする
新しいRailsアプリケーションを作成する:
バッシュ rails 新しい myapp cd myapp
新しいRailsアプリを作成すると、Railsは自動的に2つのキーファイルを 構成 ディレクトリにある:
config/credentials.yml.enc:認証情報が保存される暗号化されたファイル。config/master.key:復号化に使用される暗号化キーcredentials.yml.enc.
重要だ: コミットしない config/master.key をバージョン管理に追加します。あなたの .gitignore ファイルに保存し、偶発的な暴露を防ぐ。
クレデンシャル設定の確認
資格情報ファイルが存在することを確認するには 構成 ディレクトリにある:
バッシュ ls config/
を見てほしい。 credentials.yml.enc そして マスターキー.もし マスターキー が見つからない場合、Railsは最初にクレデンシャルを編集するときにクレデンシャルを生成します(以下で説明します)。
Rails認証情報の編集
資格情報ファイルを開く
クレデンシャルを編集するには、Railsコマンドを使用する:
バッシュ EDITOR="vim" rails credentials:edit
このコマンドは復号化された config/credentials.yml.enc を指定したエディター(例:Vim、Nano、VS Code)で実行する。置き換える "元気"のようなお好みのエディタでコード" をVS Codeのために使用します。もし、<code.config/credentials.yml.enc または config/master.key が存在しない場合は、Railsが作成します。
コマンドを実行すると、YAMLフォーマットのファイルが表示される。デフォルトのクレデンシャルファイルは次のようになります:
yaml # クッキーを保護するものを含め、RailsのすべてのMessageVerifiersの基本秘密として使用されます。 secret_key_base: あなたの秘密鍵ベース
について 秘密鍵ベース は、RailsでCookieやその他のデータに署名したり暗号化したりする際に使用される重要な値です。新しいRailsアプリを作成するときに自動的に生成されます。
新しいクレデンシャルの追加
YAMLファイルには独自の認証情報を追加できる。例えば、AWSとStripeのAPIキーを追加するには、以下のようにファイルを変更します:
yaml
# config/credentials.yml.enc
aws:
access_key_id: your_access_key_id
secret_access_key: あなたの_secret_access_key
stripe:
public_key: test_public
プライベートキー: test_private
秘密鍵ベース: your_secret_key_base保存してエディタを閉じます。Railsが自動的にファイルを暗号化して config/credentials.yml.enc.これでデータは安全になり、バージョン管理にコミットできるようになった。
環境固有の資格情報 (Rails 6+)
Rails 6以降では、環境固有の認証情報を管理できます。たとえば、本番環境のクレデンシャルを編集するには
バッシュ EDITOR="vim" rails credentials:edit --environment production
を作成または編集する。 config/credentials/production.yml.enc そして config/credentials/production.key を暗号化のために使用します。本番用認証情報ファイルの例は以下のようになる:
yaml
# config/credentials/production.yml.enc
aws:
access_key_id: prod_access_key_id
secret_access_key: prod_secret_access_key
secret_key_base: prod_secret_key_base同様に、開発またはテストの認証情報は --環境開発 または --環境テスト.これにより、環境ごとに異なるAPIキーやデータベース認証情報を使用することができる。
アプリケーションでクレデンシャルにアクセスする
読書資格
Rails アプリケーションでクレデンシャルにアクセスするには Rails.application.credentials.例えば、AWSのアクセスキーを取得する:
ルビー Rails.application.credentials.aws[:access_key_id]を使っています。 # => "あなたの_access_key_id"
環境固有の認証情報については、Railsは自動的に RAILS_ENV 環境変数で指定します。例えば、開発では
ルビー Rails.application.credentials.dig(:stripe, :public_key) # => "test_public_development"
本番環境では、同じコードで本番キーを取得します。 config/credentials/production.yml.enc.
ドット記法によるアクセスの簡素化
便宜上、Railsはクレデンシャルへのアクセスにドット記法をサポートしています:
ルビー Rails.application.credentials.stripe.public_key # => "test_public"
しかし、開発者の中には 掘る ネストされたキーに対して、キーが見つからない場合のエラーを回避する。
例コントローラでの認証情報の使用
Stripeのような決済サービスを統合するとします。これをコントローラで設定するには、クレデンシャルを使用します:
ルビー
クラス PaymentsController < ApplicationController
def create
Stripe.api_key = Rails.application.credentials.stripe[:private_key]を使用します。
# 決済処理ロジック
終了
終了これにより、APIキーは安全に、コードベースから除外される。
マスターキーの管理
マスターキーの保護
について config/master.key ファイル(または config/credentials/production.key</code.)はクレデンシャルを復号化するために重要です。これを管理するためのベストプラクティスを紹介します:
- バージョン管理には決してコミットしないこと: 確保する
master.keyは.gitignoreにある。. - しっかりと分かち合う: パスワード・マネージャーや安全な経路(暗号化されたメッ セージなど)を使用して、鍵をチーム・メンバーと共有する。
- 環境変数を使う: あるいは、>>を設定する。
レールズマスターキー環境変数の代わりにマスターキー.例えば:
バッシュ export RAILS_MASTER_KEY=your_master_key
Railsの優先順位 レールズマスターキー を超える。 マスターキー ファイルを作成する。これはHerokuやAWSのようなデプロイ環境に便利だ。
マスターキーの回転
マスターキーの漏洩が疑われる場合は、マスターキーを交換すること:
- 新しいマスターキーを生成する:
バッシュ レール認証情報:編集
これは新しい config/master.key を再暗号化する。 config/credentials.yml.enc.
- すべてのチーム メンバーと配置環境を新しいキーで更新します。
- 環境固有の認証情報を使う場合は、環境ごとに繰り返す(例.
rails credentials:edit --environment production).
を回転させる。 秘密鍵ベース は既存のセッションとクッキーを無効にするので、ローテーションを慎重に計画し、ユーザーを混乱させないようにしてください。
Railsクレデンシャルのベストプラクティス
1.ソースコードから秘密を守る
アプリケーション・コードに機密データをハードコードしないこと。例えば
ルビー # バッドプラクティス AWS.config(access_key_id: "your_access_key_id")
その代わりに、こう使う:
ルビー AWS.config(access_key_id: Rails.application.credentials.aws[:access_key_id])
これにより、秘密は暗号化され、安全に保たれる。
2.環境固有のクレデンシャルを使用する。
Railsの環境固有の認証情報のサポートを活用して、開発用のキーを本番環境で使用しないようにしましょう。これにより、機密キーが誤って悪用されるリスクを減らすことができます。
3.ログ中の機密データをフィルタリングする
Railsのログは機密データを不用意に暴露する可能性があります。設定する config.filter_parameters で config/application.rb を使用して、敏感なパラメータをフィルタリングする:
ルビー config.filter_parameters += [:password, :secret, :token] とする。
これは、機密データを[ ]としてマークする。フィルター付きをログに残し、被曝を防いでいる。
4.秘密を定期的にローテーションする
定期的に回転させる 秘密鍵ベース などのクレデンシャルを使用することで、潜在的な漏えいの影響を最小限に抑えることができます。Railsのローテーションメカニズムを使ってクッキーを優雅に更新する。
5.データベース設定の保護
確保する config/atabase.yml は機密データを含まない。データベースのパスワードには認証情報を使用する:
yaml # config/database.yml プロダクションの アダプタ: postgresql データベースを作成します:。 ユーザ名 パスワード です。
これにより、データベースの認証情報は安全に保たれる。
6.アプリケーションの監査
Brakemanやbundler-auditのようなツールを使って、Railsアプリケーションのセキュリティ脆弱性をスキャンしましょう。CI/CDパイプラインに組み込んで問題を早期に発見しましょう。
よくある落とし穴とその避け方
1.マスターキーのコミット
事故 config/master.key をバージョン・コントロールに置き換えるのは、よくある間違いだ。常に .gitignore file:
ギティグノア /config/master.key /コンフィグ/クレデンシャル/*.key
2.一貫性のない環境認証情報
環境固有のクレデンシャルを使用する場合は、キーが環境間で一貫していることを確認してください。たとえば ストライプ キーを開発中に使用する場合は、プレースホルダ値であっても、本番環境とテストのクレデンシャルにも追加してください。
3.ログでの認証情報の公開
フィルタリングされていないログは秘密を暴露する可能性がある。常に config.filter_parameters はすべてのセンシティブキーを含む。
4.クレデンシャルでの ERB の使用
Railsは暗号化された資格情報ファイルのEmbedded Ruby (ERB) をサポートしていません。 。 構文を使用します。代わりにプレーンなYAMLを使おう。
アドバンス・トピックス
サードパーティ・サービスでのクレデンシャルの使用
AWS、Stripe、SendGridのようなサードパーティのサービスを統合する場合、それらのAPIキーをクレデンシャルに保存します。例えば
yaml
sendgrid:
api_key: your_sendgrid_api_keyアプリケーションからアクセスしてください:
ルビー SendGrid::API.api_key = Rails.application.credentials.sendgrid[:api_key]。
これにより、統合の安全性と保守性が保たれる。
アクティブレコードの暗号化
データベースのフィールドを暗号化するために、RailsはActive Record Encryptionを提供しています(Rails 7で導入)。たとえば
ルビー
class Article < ApplicationRecord
要約を暗号化する:Rails.application.credentials.active_record_encryption[:primary_key]を使う。
終了暗号化キーをクレデンシャルに保存する:
yaml
active_record_encryption:
プライマリ_キー: your_encryption_key
key_derivation_salt:あなたの_saltこれにより、機密性の高いデータベース・フィールドを安全に保管することができる。
カスタム・シークレット・マネジメント
Rails以外のRubyアプリケーションや高度なユースケースには、次のようなgemを検討してください。 セクレツ 暗号化された秘密を管理する。これらをRailsに統合して、カスタム・ワークフローを実現できる。
結論
Ruby on Railsでクレデンシャルと暗号化された秘密を管理することは、安全なアプリケーションを構築するために不可欠なスキルです。Railsの組み込み資格情報システムを活用することで、機密データを安全に保存し、チームと共有し、自信を持ってアプリケーションをデプロイすることができます。編集から config/credentials.yml.enc からマスター・キーの確保、環境固有の認証情報の使用まで、このガイドでは初心者のために必要なことを網羅している。
Rails開発を次のレベルに引き上げるには、次のような専門家との提携をご検討ください。 レールカーマに特化している。 Ruby on Rails開発会社.RailsCarmaは、アプリケーションの開発、メンテナンス、および、アプリケーションの開発、メンテナンス、および、アプリケーションの開発、メンテナンス、および、アプリケーションの開発を含む包括的なサービスを提供しています。 セキュリティ監査このガイドに記載されているプラクティスに従い、必要に応じて専門家のサポートを利用することで、お客様のニーズに合わせた堅牢でセキュアな Rails アプリケーションの構築を支援します。このガイドに概説されているプラクティスに従い、必要に応じてプロのサポートを活用することで、Rails アプリケーションで機密データを安全に取り扱うための十分な準備が整います。
投稿者について
Japanese 
English 
German 
French 
Spanish 
Italian 
Swedish