Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

GitHub ActionsのOIDC認証

Avatar for Tomofumi Kondo Tomofumi Kondo
March 01, 2022
Programming
1
210

GitHub ActionsのOIDC認証

2021年に新しく発表された、GitHub ActionsのOIDC認証機能についての紹介。

Avatar for Tomofumi Kondo

Tomofumi Kondo

March 01, 2022
Tweet

More Decks by Tomofumi Kondo

See All by Tomofumi Kondo
Tinkerbellから学ぶ、Podで DHCPをリッスンする手法
Avatar for Tomofumi Kondo tomokon
0
130
Goで作る!ストレージ筐体間での安全なCinder volume移行システムの開発と運用
Avatar for Tomofumi Kondo tomokon
0
110
Goによるインタプリタ開発
Avatar for Tomofumi Kondo tomokon
1
74
初めてのTerraform
Avatar for Tomofumi Kondo tomokon
1
41
ハッカソンで便利なインフラ構築サービス
Avatar for Tomofumi Kondo tomokon
0
250
テスト、テスト、テスト!
Avatar for Tomofumi Kondo tomokon
0
62

Other Decks in Programming

See All in Programming
実は歴史的なアップデートだと思う AWS Interconnect - multicloud
Avatar for maroon1st maroon1st
0
110
안드로이드 9년차 개발자, 프론트엔드 주니어로 커리어 리셋하기
Avatar for Seungmin 마량 maryang
1
110
AIコーディングエージェント(Manus)
Avatar for kondai kondai24
0
180
手が足りない!兼業データエンジニアに必要だったアーキテクチャと立ち回り
Avatar for zinkosuke zinkosuke
0
680
WebRTC と Rust と 8K 60fps
Avatar for tnoho tnoho
2
2k
ZOZOにおけるAI活用の現在 ~モバイルアプリ開発でのAI活用状況と事例~
Avatar for ZOZO Developers zozotech
PRO
8
5.6k
非同期処理の迷宮を抜ける: 初学者がつまづく構造的な原因
Avatar for PADAone pd1xx
1
710
LLMで複雑な検索条件アセットから脱却する!! 生成的検索インタフェースの設計論
Avatar for po3rin po3rin
3
720
AIコーディングエージェント(Gemini)
Avatar for kondai kondai24
0
220
connect-python: convenient protobuf RPC for Python
Avatar for Anuraag Agrawal anuraaga
0
410
SwiftUIで本格音ゲー実装してみた
Avatar for 蛋白(たんぱく・TANPACT) hypebeans
0
360
Github Copilotのチャット履歴ビューワーを作りました~WPF、dotnet10もあるよ~ #clrh111
Avatar for KatsuYuzu katsuyuzu
0
110

Featured

See All Featured
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
14k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.9k
KATA
Avatar for Megan Lloyd mclloyd
PRO
32
15k
Docker and Python
Avatar for Tania Allard trallard
47
3.7k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.6k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7.1k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.2k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
9
1k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.9k

Transcript

  1. GitHub ActionsのOIDC認証 東北大学4年 近藤智文 @tomokon_0314

  2. 目次 1. OIDCとは 2. GitHub ActionsのOIDC認証機能 3. デモ 4. まとめ

  3. 1. OIDCとは Open ID Connectの略 信頼されたOIDCプロバイダーが提供するトークンによって認証・認可を行う仕組 み。 OIDCのユーザーとなるサービスは、認証された主体の情報を示す「IDトークン」 や、認可されたアクションを示す「アクセストークン」というトークンを認可 サーバーに発行してもらう。

    リソースサーバーに対するリクエストにそれらのトークンを含めることで、リ ソースに対して許可されたアクションを行うことができる。

  4. 1. OIDCとは

  5. 2. GitHub ActionsのOIDC認証機能 1. Cloud Providerの方でGitHubの特定の組織・リポジトリ・ブランチに対して アクションを許可するロールを作成しておく 2. GitHub ActionsのジョブでJWTを発行してCloud

    Providerにリクエストし、 アクセストークンを得る 3. 得たトークンを使ってCloud ProviderのAPIを叩くなどして、Cloud Provider のリソースに対するアクション(サービスのデプロイとか)を実行する。 About security hardening with OpenID Connectより引用

  6. 2. GitHub ActionsのOIDC認証機能 メリット 従来は、AWSのリソースに対して特定のアクションを実行できるユーザーを作成 し、そのユーザーのアクセスキーとシークレットキー(IDとパスワードみたいなも の)をGitHubのsecretsに登録してGitHub Actionsで利用していた。 しかし、それでは認証情報をAWSの外部に置くことになるので流出の危険があり セキュリティ的に良くない。

    OIDC認証を使うことで、workflow実行時に毎度発行される短命なトークンを利 用して認証を行えるため、secretsに認証情報を保存しなくてよくなる

  7. 3. デモ GitHub ActionsのOIDC認証を使用し、AWSのリソースに対してアクションの制 御を行うデモをする。

  8. 3. デモ AWSにてOIDCプロバイダを設定する

  9. 3. デモ AWSにてOIDCプロバイダを設定する Provider URL https://token.actions.githubuserconte nt.com Audience sts.amazonaws.com

  10. 3. デモ AWSにてOIDC用のロールを作成する

  11. 3. デモ OIDC用ロールの信頼ポリシー 例(抜粋) ``` "Principal": { "Federated":"arn:aws:iam::<アカウントID>:oidc-provider/token.actions.githubusercontent.com" }, "Action":

    "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub":"repo:<GitHubの組織名>/<GitHubのリポジトリ 名>:ref:refs/heads/main", "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } ```

  12. 3. デモ OIDC用ロールに紐づける権限(抜粋) 今回は`sts get-caller-identity`を実行できる権限を付与しておく ``` { "Effect": "Allow", "Action":

    "sts:GetCallerIdentity", "Resource": "*" } ```

  13. 3. デモ GitHubにてテスト用リポジトリの作成 組織名・リポジトリ名は先ほど設定した信頼ポリシーに一致させる 今回はこれで↓

  14. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) GitHub OIDC Providerが発行するOIDC認証用のJWTを使うための権限の設定 ``` permissions: id-token:

    write ```

  15. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) AWSから先ほど作ったロールに紐づくトークンを取得する ``` - name: configure AWS

    credentials uses: aws-actions/configure-aws-credentials@v1 with: role-to-assume: arn:aws:iam::${{ secrets.AWS_ACCOUNT_ID }}:role/github-oidc-test role-session-name: testrolesession aws-region: ${{ env.AWS_REGION }} ```

  16. OIDC認証を使うGitHub Actionsのworkflow(抜粋) 前のステップで取得したトークンを同封してAWSのAPIを叩く ``` - name: get caller identity run:

    | aws sts get-caller-identity ``` 3. デモ

  17. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) workflowの結果

  18. 4. まとめ • GitHub ActionsのOIDC認証を使うことで、secretsに認証情報を保存しなく てよくなるため、認証情報の流出の危険性がなくなる。 • GitHub ActionsのworkflowからAWSのリソースに対するアクセス制御を柔軟 に行うことができる。