Terraform デバッグ ログから編集する情報ですか?

Terraform デバッグ ログから編集する情報ですか?

GitHub の問題を送信する場合、チケットと一緒にデバッグ ログを提供するように求められます。ログから編集するのに適したフィールド/データは何かご存知の方はいらっしゃいますか?

たとえば、出力には認証データを提供する AWS の STS サービスへのリクエストが含まれます。これは削除したほうがよいと思います。ユーザー名、アカウント ID、ユーザー arn なども削除する必要がありますか?

答え1

まず、提出する際には、インターネット全体から秘密を隠すための GPG キーが付与されます。必ずこれを行ってください。

2 番目に、そうしなければならなかったときに、全体をページングしました。私が隠したもののいくつかは次のとおりです。

  • ネットブロック情報ほとんどの場合、異なるサブネットに転送されます。データが漏洩した場合、標的型攻撃者は調査方法を見つけると、内部ネットワークをマッピングするのが予想以上に困難になります。
  • 正確な名前これには多少の作業が必要でしたが、賢明な sed 作業によって、すべてが などに置き換えられましたchicago-bind。DNSdns01のバインドは悪い推測ではありませんが、標的型攻撃を解明するには、mongodb と cassandra を比較する方が便利です。
  • AWS アカウント番号。これらは ARN の一部であり、非常に扱いやすいです。
  • 実際の秘密一部の Terraform リソースでは、パスワードやアクセス キーなどが必要になります。デバッグ ダンプを見たことがなければ、そこにどれだけの情報が含まれているかに驚くかもしれません。

それは大変な作業であり、一部は手作業です。

関連情報