# AWS 不正利用について * ケース1 * 原因(サイト文引用) 情けないことだが、自身の過失により、GitHubで長年Privateリポジトリで運用していたリポジトリを、とある事情でpublicに変更したのだが、その中にAWSのS3のアクセスキーとシークレットキーがファイルに直接ハードコーディングされているのにすっかり気づかず、自身のAWSのアクセスキーとシークレットキーが流出してしまうという失態を起こしてしまった。 * AWSが不正利用され300万円の請求が届いてから免除までの一部始終 - Qiita https://qiita.com/AkiyoshiOkano/items/72002409e3be9215ae7e * ケース2 * 原因（サイト文引用） **どうやら原因はTerraformの学習中にawsのアクセスキーを張り付けたコードをアップしてしまったこようです。** 今後は二度とコードにシークレットキー等を書き込まないよう徹底します… * 【AWS不正利用】1日で20万円以上の請求が届いてから免除されるまで - Qiita https://qiita.com/ichihara-development/items/4d1d82f55b69369ba7bc * その他の事例 不正利用・高額請求がきた等調べた結果多い事例としては アクセスキーが漏れるー>ターミナル等にログインー>ターミナルの設定を抜かれる又は書き換えられる->被害発生の流れが主でした。 **[自分の意見]** 自分の結論としては、Laravelの環境変数を　AWS の .env に設定を直書きが原因で 高額請求や設定が勝手に書き換えられていたという事例はなかったので、 ・一番実装がお手軽な、AWS用の .env に直書きをするでもいいかなと思います。 その他に ・AWS Secrets Managerを使えばいいらしいですが料金や工数が結構かかると思います。 記事 以下補足 ------ ・アクセスキーについて [確認の仕方] IAM -> ユーザー->認証情報にアクセスキーがあるので確認 [漏洩すると]　コンソールにログインができてしまう可能性があります。 管理方法については公式が出しているみたいでした [ドキュメント] AWS アクセスキーを管理するためのベストプラクティス - AWS 全般のリファレンス https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html