Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GitHub ActionsのOIDC認証

Avatar for Tomofumi Kondo Tomofumi Kondo
March 01, 2022
Programming
240
1

GitHub ActionsのOIDC認証

2021年に新しく発表された、GitHub ActionsのOIDC認証機能についての紹介。

Avatar for Tomofumi Kondo

Tomofumi Kondo

March 01, 2022

More Decks by Tomofumi Kondo

See All by Tomofumi Kondo
Tinkerbellから学ぶ、Podで DHCPをリッスンする手法
Avatar for Tomofumi Kondo tomokon
0
230
Goで作る!ストレージ筐体間での安全なCinder volume移行システムの開発と運用
Avatar for Tomofumi Kondo tomokon
0
150
Goによるインタプリタ開発
Avatar for Tomofumi Kondo tomokon
1
96
初めてのTerraform
Avatar for Tomofumi Kondo tomokon
1
57
ハッカソンで便利なインフラ構築サービス
Avatar for Tomofumi Kondo tomokon
0
280
テスト、テスト、テスト!
Avatar for Tomofumi Kondo tomokon
0
85

Other Decks in Programming

See All in Programming
OSもどきOS
Avatar for Sora Arakawa arkw
0
570
dRuby over BLE
Avatar for makicamel makicamel
2
340
Signal Forms: Details & Live Coding @enterJS 2026 in Mannheim
Avatar for Manfred Steyer manfredsteyer
PRO
0
140
jQueryをバージョンアップする前に使いたいjQuery Migrate
Avatar for Atsushi Matsuo matsuo_atsushi
0
500
セキュリティの専門家じゃなくてもできる。「セキュリティ意識」をアップデートして サプライチェーン攻撃への耐性を高めよう。
Avatar for tk3fftk tk3fftk
5
760
Agentic UI
Avatar for Manfred Steyer manfredsteyer
PRO
0
160
決定論的オーケストレーションの設計と実装 / Design and Implementation of Deterministic Orchestration
Avatar for nrs nrslib
4
1.4k
技術記事、AIに書かせるか、自分で書くか? 〜それでも私が自分の手で書く理由〜 / #QiitaConference
Avatar for Junichi Ito jnchito
2
1.4k
生成AI時代にこそ効くGo | Why Go Works in the Age of Generative AI
Avatar for mom0tomo mom0tomo
8
3.2k
Oxlintのカスタムルールの現況
Avatar for syumai syumai
6
1.1k
IBM Bobを活用したレガシーアプリの最新化
Avatar for Akira Onishi (IBM) oniak3ibm
PRO
1
200
代数的データ型って何が嬉しいの? #frontend_phpcon_do
Avatar for Takuma Kajikawa kajitack
8
3.7k

Featured

See All Featured
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
2.1k
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
220
Between Models and Reality
Avatar for mayunak mayunak
4
340
More Than Pixels: Becoming A User Experience Designer
Avatar for Michelle Schulp Hunt marktimemedia
3
440
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
22k
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
140
What the history of the web can teach us about the future of AI
Avatar for Ines Montani inesmontani
PRO
1
610
Evolving SEO for Evolving Search Engines
Avatar for Ryan Jones ryanjones
0
220
The #1 spot is gone: here's how to win anyway
Avatar for Tamara Novitovic tamaranovitovic
2
1.1k
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
Side Projects
Avatar for Sacha Greif sachag
455
43k
A better future with KSS
Avatar for Kyle Neath kneath
240
18k

Transcript

  1. GitHub ActionsのOIDC認証 東北大学4年 近藤智文 @tomokon_0314

  2. 目次 1. OIDCとは 2. GitHub ActionsのOIDC認証機能 3. デモ 4. まとめ

  3. 1. OIDCとは Open ID Connectの略 信頼されたOIDCプロバイダーが提供するトークンによって認証・認可を行う仕組 み。 OIDCのユーザーとなるサービスは、認証された主体の情報を示す「IDトークン」 や、認可されたアクションを示す「アクセストークン」というトークンを認可 サーバーに発行してもらう。

    リソースサーバーに対するリクエストにそれらのトークンを含めることで、リ ソースに対して許可されたアクションを行うことができる。

  4. 1. OIDCとは

  5. 2. GitHub ActionsのOIDC認証機能 1. Cloud Providerの方でGitHubの特定の組織・リポジトリ・ブランチに対して アクションを許可するロールを作成しておく 2. GitHub ActionsのジョブでJWTを発行してCloud

    Providerにリクエストし、 アクセストークンを得る 3. 得たトークンを使ってCloud ProviderのAPIを叩くなどして、Cloud Provider のリソースに対するアクション(サービスのデプロイとか)を実行する。 About security hardening with OpenID Connectより引用

  6. 2. GitHub ActionsのOIDC認証機能 メリット 従来は、AWSのリソースに対して特定のアクションを実行できるユーザーを作成 し、そのユーザーのアクセスキーとシークレットキー(IDとパスワードみたいなも の)をGitHubのsecretsに登録してGitHub Actionsで利用していた。 しかし、それでは認証情報をAWSの外部に置くことになるので流出の危険があり セキュリティ的に良くない。

    OIDC認証を使うことで、workflow実行時に毎度発行される短命なトークンを利 用して認証を行えるため、secretsに認証情報を保存しなくてよくなる

  7. 3. デモ GitHub ActionsのOIDC認証を使用し、AWSのリソースに対してアクションの制 御を行うデモをする。

  8. 3. デモ AWSにてOIDCプロバイダを設定する

  9. 3. デモ AWSにてOIDCプロバイダを設定する Provider URL https://token.actions.githubuserconte nt.com Audience sts.amazonaws.com

  10. 3. デモ AWSにてOIDC用のロールを作成する

  11. 3. デモ OIDC用ロールの信頼ポリシー 例(抜粋) ``` "Principal": { "Federated":"arn:aws:iam::<アカウントID>:oidc-provider/token.actions.githubusercontent.com" }, "Action":

    "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub":"repo:<GitHubの組織名>/<GitHubのリポジトリ 名>:ref:refs/heads/main", "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } ```

  12. 3. デモ OIDC用ロールに紐づける権限(抜粋) 今回は`sts get-caller-identity`を実行できる権限を付与しておく ``` { "Effect": "Allow", "Action":

    "sts:GetCallerIdentity", "Resource": "*" } ```

  13. 3. デモ GitHubにてテスト用リポジトリの作成 組織名・リポジトリ名は先ほど設定した信頼ポリシーに一致させる 今回はこれで↓

  14. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) GitHub OIDC Providerが発行するOIDC認証用のJWTを使うための権限の設定 ``` permissions: id-token:

    write ```

  15. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) AWSから先ほど作ったロールに紐づくトークンを取得する ``` - name: configure AWS

    credentials uses: aws-actions/configure-aws-credentials@v1 with: role-to-assume: arn:aws:iam::${{ secrets.AWS_ACCOUNT_ID }}:role/github-oidc-test role-session-name: testrolesession aws-region: ${{ env.AWS_REGION }} ```

  16. OIDC認証を使うGitHub Actionsのworkflow(抜粋) 前のステップで取得したトークンを同封してAWSのAPIを叩く ``` - name: get caller identity run:

    | aws sts get-caller-identity ``` 3. デモ

  17. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) workflowの結果

  18. 4. まとめ • GitHub ActionsのOIDC認証を使うことで、secretsに認証情報を保存しなく てよくなるため、認証情報の流出の危険性がなくなる。 • GitHub ActionsのworkflowからAWSのリソースに対するアクセス制御を柔軟 に行うことができる。