tmokmss
commented
2 months ago ありがとうございます こちらのcidrは設定されていますか?
利用環境のoutbound ipアドレス(↓から確認できます)を含む必要があります
Closed sinoda1114 closed 2 months ago
tmokmss
commented
2 months ago ありがとうございます こちらのcidrは設定されていますか?
利用環境のoutbound ipアドレス(↓から確認できます)を含む必要があります
sinoda1114
commented
2 months ago ありがとうございます 確かにここにGlobal IPを設定すべきな箇所であり 0.0.0.0/32は全拒否ですよね「0.0.0.0./0」と見間違えていました、、、
「cdk.ts」はReadme.mdでリージョンのことは触れてはいましたがIPアドレスは直接的に触れていなかったので「cdk.ts」にコメントアウトをわかりやすく記載してプルリク投げておきます
tmokmss
commented
2 months ago ありがとうございます!コメントはJS docで記載しているのですが、たしかにREADMEでは触れていませんでしたね :bow:
むしろ 0.0.0.0/0 をデフォルトにするのが良いかもしれないと思っています
いずれにせよログインが必要なので、最初の管理ユーザー作成を迅速に行えば大きなセキュリティリスクはなさそうです
この辺りなにかご意見ありましたらご教示くださいmm
sinoda1114
commented
2 months ago ありがごうとざいます
この辺りなにかご意見ありましたらご教示くださいmm
私の考えですが、Difyは多くの非技術者の方も使っている&試している印象なので とりあえず構築をゴールとしてなるべく細かい設定は排除してあげたらがいいのかなと思いました なので仰るとおり「0.0.0.0/0」にしてDifyのユーザーアクセス管理側で絞るのが体験としては優しいのかなと思います (どこで外部脅威を防御/保護するかの視点をいうときりが無いので必要最低限ユーザーアクセスで保護する)
もちろんGlobal IPで絞るのは正しいですが、Global IP固定で限定的にしたあとに プロバイダの契約が可変Global IPだった場合はIPアドレスが可変したときに「え?アクセスできない?」となるユーザーも一定数居ると思いますし そもそも「Global IPとはなに?構築できない」となって退場してしまうのは避けたいです
繰り返しますがTSの中身は「0.0.0.0/0」にしてDifyのユーザーアクセス権限で管理者を限定的にするほうが優しい体験だと考えています 玄人ならIPアドレスの箇所は難なくできるはずですし
tmokmss
commented
2 months ago ありがとうございます!おっしゃるとおりですね 取り急ぎ、allowedCidrsのデフォルト値を変更したいと思いますmm
tmokmss
commented
2 months ago Issueクローズしてしまいましたが、何かあればまたご連絡ください! 🙏
CDKでデプロイ後のURLを開くとDifyが表示されないのでCDKの中身に権限周りの設定に問題があるのかと思ってイシューさせてもらいました(もしくはAPIゲートウェイの設定でしょうか)
URLを開くと以下のメッセージが表示されれます
{"message":"Forbidden"}