Stripeには、顧客の氏名やメールアドレス・請求先住所などの個人情報と、ビジネスに関する指標データなどが保存されています。
そのため、関わる人数の多いプロジェクトや企業では、情報が漏えいしないように厳重な管理が求められます。
ここでは、Stripeダッシュボードで簡単に設定・操作ができる、アクセス管理や監査データの取得方法を紹介します。
Stripeを利用したシステム開発・運用を、より安全に行うために利用したい4つの機能
1: ユーザーごとの役割設定で、個人情報などの重要なデータへのアクセスを制限しよう
Stripeダッシュボードでは、「返金などの顧客サポート」や「APIキー・Webhookの操作などの開発業務」など、ユーザーごとに役割を設定できます。
ユーザーごとに役割を明確に設定することで、顧客情報やビジネスの重要な指標などへのアクセスを制御できます。
また、2段階認証を必須にすることもできますので、こちらもご活用ください。
2: 開発者ごとに、機能を制限したAPIキーを作る「制限付きのキー」
ダッシュボードへのログインだけでなく、API操作についてもアクセス制御が可能です。
ダッシュボードの[開発者 > APIキー]で、[制限付きのキーを作成]ボタンをクリックすると、作成できます。
ここでは、リソースごとにAPIへのアクセス権限を[なし][読み取り][書き込み]の3つから選択できます。
また、Connectで作られた子アカウントに対する権限についても設定が可能です。
ローカルの開発用途や、AWS Lambda / CloudFunctionsまたはコンテナサービスなどのマイクロサービスで、意図せぬAPI呼び出しを防ぐために活用しましょう。
3: 「セキュリティ履歴」で、ユーザーの操作ログを取得しよう
[設定 > セキュリティ履歴]から、「ユーザーやCLI、APIキーでどんな操作が行われたか」をまとめて確認できます。
CSVファイルのエクスポートも可能
セキュリティ履歴のデータは、CSVでDLできます。
監査やワークフローの自動化でCSVファイルが必要な場合などに使えます。
4: API呼び出しログで、意図せぬAPI呼び出しがないかチェックする
StripeのAPIを呼び出すと、ダッシュボードの[開発者 > ログ]にそのログが表示されます。
APIキー漏洩による不正なAPI呼び出しがないかや、システムのバグによるAPIエラーが出ていないかなどは、このログページでチェックできます。
ダッシュボード機能を活用して、より安全な決済OPSを
Stripeにはこのようにさまざまなアカウントの安全性を高める機能が用意されています。
もし今まで見ること・使うことのなかった機能がありましたら、ぜひこの機会にお試しください。
[PR] Stripe開発者向け情報をQiitaにて配信中!
- [Stripe Updates]:開発者向けStripeアップデート紹介・解説
- ユースケース別のStripe製品や実装サンプルの紹介
- Stripeと外部サービス・OSSとの連携方法やTipsの紹介
- 初心者向けのチュートリアル(予定)
など、Stripeを利用してオンラインビジネスを始める方法について週に2〜3本ペースで更新中です。