セキュアコーディング ガイドライン – cybozu developer network
「推奨する保存先
バックエンド(サーバー内のデータベースやサーバレスプラットフォームなど)」
という記載があります。
AWS Lambda (と AWS Secrets Manager)に保存しようかとおもったのですが、外部サービスのAPIトークンを返す関数をつくっても、Lambdaを呼び出す先のURLをkintoneのカスタマイズ内に書く必要はあると考えました。
Lambdaを実行するのにAPIトークンを必須にすることも考えましたが、結局そのAPIトークンをカスタマイズ内に書く必要があります。
ガイドラインで書いてある、外部サービスの認証情報をサーバーレスプラットフォームなどで秘匿するというのは
「外部サービスのAPIトークンを返却する仕組みをつくる」
のではなく
「外部サービスの実行そのものをLambdaで行う」
ことをさしているのでしょうか?
APIトークンそのものはLambda側に置くため秘匿できるが、意図しない実行は阻止できない(引数などを調整して外部サービスの実行・データ取得されてしまう可能性)という理解でよいでしょうか?
類似の質問は参照しています。
外部APIの認証情報を秘匿化する方法について – cybozu developer network
https://developer.cybozu.io/hc/ja/community/posts/205714786-%E5%A4%96%E9%83%A8API%E3%81%AE%E8%AA%8D%E8%A8%BC%E6%83%85%E5%A0%B1%E3%82%92%E7%A7%98%E5%8C%BF%E5%8C%96%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6