CC逆引きリファレンス

認証情報ファイルを保護したい

13. セキュリティリスク回避

コマンド / 機能

"deny": ["Read(*credentials*)", "Read(*secret*)"]

概要

認証情報や秘密情報を含むファイルへのアクセスを制限し、漏洩を防ぎます。

設定例

// settings.json
{
  "permissions": {
    "deny": [
      // ファイル名にキーワードを含むもの
      "Read(**/*credential*)",
      "Read(**/*secret*)",
      "Read(**/*password*)",
      "Read(**/*token*)",
      "Read(**/*apikey*)",
      "Read(**/*api_key*)",
      "Read(**/*api-key*)",

      // クラウドプロバイダの認証
      "Read(~/.aws/*)",
      "Read(~/.config/gcloud/*)",
      "Read(~/.azure/*)",

      // その他の認証ファイル
      "Read(**/*.keystore)",
      "Read(**/.netrc)",
      "Read(**/.npmrc)",
      "Read(**/.pypirc)",

      // 編集・書き込みも禁止
      "Edit(**/*credential*)",
      "Write(**/*secret*)"
    ]
  }
}

こんな時に使う

  • 認証情報の漏洩を防ぎたい時
  • 機密ファイルへのアクセスを制限したい時

使い方

  1. 1機密情報を含みそうなファイル名パターンを deny に追加
  2. 2クラウドプロバイダの認証ディレクトリも保護
  3. 3.npmrc や .pypirc など認証トークンを含むファイルも対象
  4. 4Read だけでなく Edit/Write も禁止

Tips

  • ファイル名パターンは漏れがないよう包括的に
  • 実際の認証は環境変数や専用の秘密管理ツールで
  • AWS は IAM ロール、GCP はサービスアカウントの使用を推奨
  • .gitignore にも同様のパターンを追加

同じカテゴリの記事

プロンプトインジェクション対策
提案されたコマンドを実行前に必ず確認
外部スクリプトの安全な実行
ダウンロード→確認→実行
.env へのアクセスを禁止したい
"deny": ["Read(.env*)", "Edit(.env*)"]
秘密鍵を保護したい
"deny": ["Read(*.key)", "Read(~/.ssh/*)"]
rm -rf を禁止したい
"deny": ["Bash(rm -rf*)"]
force push を禁止したい
"deny": ["Bash(git push --force*)", "Bash(git push -f*)"]
前の記事
パッケージインストールを制限したい
次の記事
履歴ファイルを保護したい