Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GitHub ActionsのOIDC認証

Avatar for Tomofumi Kondo Tomofumi Kondo
March 01, 2022
Programming
1
210

GitHub ActionsのOIDC認証

2021年に新しく発表された、GitHub ActionsのOIDC認証機能についての紹介。

Avatar for Tomofumi Kondo

Tomofumi Kondo

March 01, 2022
Tweet

More Decks by Tomofumi Kondo

See All by Tomofumi Kondo
Goで作る!ストレージ筐体間での安全なCinder volume移行システムの開発と運用
Avatar for Tomofumi Kondo tomokon
0
86
Goによるインタプリタ開発
Avatar for Tomofumi Kondo tomokon
1
71
初めてのTerraform
Avatar for Tomofumi Kondo tomokon
1
37
ハッカソンで便利なインフラ構築サービス
Avatar for Tomofumi Kondo tomokon
0
240
テスト、テスト、テスト!
Avatar for Tomofumi Kondo tomokon
0
59

Other Decks in Programming

See All in Programming
Developer Joy - The New Paradigm
Avatar for Holly Cummins hollycummins
1
400
AkarengaLT vol.38
Avatar for hashimoto-kei hashimoto_kei
1
130
SidekiqでAIに商品説明を生成させてみた
Avatar for Aki Nakahara akinko_0915
0
120
AI駆動開発カンファレンスAutumn2025 _AI駆動開発にはAI駆動品質保証
Avatar for Autify autifyhq
0
120
Temporal Knowledge Graphで作る! 時間変化するナレッジを扱うAI Agentの世界
Avatar for po3rin po3rin
5
1.2k
Verilator + Rust + gRPC と Efinix の RISC-V でAIアクセラレータをAIで作ってる話 RTLを語る会(18) 2025/11/08
Avatar for Ryuji Fuchikami ryuz88
0
180
Bakuraku E2E Scenario Test System Architecture #bakuraku_qa_study
Avatar for teyamagu teyamagu
PRO
0
220
お前も Gemini CLI extensions を作らないか?
Avatar for SatohJohn satohjohn
0
100
マイベストのシンプルなデータ基盤の話 - Googleスイートとのつき合い方 / mybest-simple-data-architecture-google-nized
Avatar for snhryt snhryt
0
120
CSC509 Lecture 11
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
290
ネストしたdata classの面倒な更新にさようなら!Lensを作って理解するArrowのOpticsの世界
Avatar for shiita0903 shiita0903
1
260
Inside of Swift Export
Avatar for giginet giginet
PRO
1
340

Featured

See All Featured
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
359
30k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
13
940
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.7k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
57
6k
How GitHub (no longer) Works
Avatar for Zach Holman holman
315
140k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.2k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
697
190k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
38
2.9k
KATA
Avatar for Megan Lloyd mclloyd
PRO
32
15k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
209
24k

Transcript

  1. GitHub ActionsのOIDC認証 東北大学4年 近藤智文 @tomokon_0314

  2. 目次 1. OIDCとは 2. GitHub ActionsのOIDC認証機能 3. デモ 4. まとめ

  3. 1. OIDCとは Open ID Connectの略 信頼されたOIDCプロバイダーが提供するトークンによって認証・認可を行う仕組 み。 OIDCのユーザーとなるサービスは、認証された主体の情報を示す「IDトークン」 や、認可されたアクションを示す「アクセストークン」というトークンを認可 サーバーに発行してもらう。

    リソースサーバーに対するリクエストにそれらのトークンを含めることで、リ ソースに対して許可されたアクションを行うことができる。

  4. 1. OIDCとは

  5. 2. GitHub ActionsのOIDC認証機能 1. Cloud Providerの方でGitHubの特定の組織・リポジトリ・ブランチに対して アクションを許可するロールを作成しておく 2. GitHub ActionsのジョブでJWTを発行してCloud

    Providerにリクエストし、 アクセストークンを得る 3. 得たトークンを使ってCloud ProviderのAPIを叩くなどして、Cloud Provider のリソースに対するアクション(サービスのデプロイとか)を実行する。 About security hardening with OpenID Connectより引用

  6. 2. GitHub ActionsのOIDC認証機能 メリット 従来は、AWSのリソースに対して特定のアクションを実行できるユーザーを作成 し、そのユーザーのアクセスキーとシークレットキー(IDとパスワードみたいなも の)をGitHubのsecretsに登録してGitHub Actionsで利用していた。 しかし、それでは認証情報をAWSの外部に置くことになるので流出の危険があり セキュリティ的に良くない。

    OIDC認証を使うことで、workflow実行時に毎度発行される短命なトークンを利 用して認証を行えるため、secretsに認証情報を保存しなくてよくなる

  7. 3. デモ GitHub ActionsのOIDC認証を使用し、AWSのリソースに対してアクションの制 御を行うデモをする。

  8. 3. デモ AWSにてOIDCプロバイダを設定する

  9. 3. デモ AWSにてOIDCプロバイダを設定する Provider URL https://token.actions.githubuserconte nt.com Audience sts.amazonaws.com

  10. 3. デモ AWSにてOIDC用のロールを作成する

  11. 3. デモ OIDC用ロールの信頼ポリシー 例(抜粋) ``` "Principal": { "Federated":"arn:aws:iam::<アカウントID>:oidc-provider/token.actions.githubusercontent.com" }, "Action":

    "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub":"repo:<GitHubの組織名>/<GitHubのリポジトリ 名>:ref:refs/heads/main", "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } ```

  12. 3. デモ OIDC用ロールに紐づける権限(抜粋) 今回は`sts get-caller-identity`を実行できる権限を付与しておく ``` { "Effect": "Allow", "Action":

    "sts:GetCallerIdentity", "Resource": "*" } ```

  13. 3. デモ GitHubにてテスト用リポジトリの作成 組織名・リポジトリ名は先ほど設定した信頼ポリシーに一致させる 今回はこれで↓

  14. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) GitHub OIDC Providerが発行するOIDC認証用のJWTを使うための権限の設定 ``` permissions: id-token:

    write ```

  15. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) AWSから先ほど作ったロールに紐づくトークンを取得する ``` - name: configure AWS

    credentials uses: aws-actions/configure-aws-credentials@v1 with: role-to-assume: arn:aws:iam::${{ secrets.AWS_ACCOUNT_ID }}:role/github-oidc-test role-session-name: testrolesession aws-region: ${{ env.AWS_REGION }} ```

  16. OIDC認証を使うGitHub Actionsのworkflow(抜粋) 前のステップで取得したトークンを同封してAWSのAPIを叩く ``` - name: get caller identity run:

    | aws sts get-caller-identity ``` 3. デモ

  17. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) workflowの結果

  18. 4. まとめ • GitHub ActionsのOIDC認証を使うことで、secretsに認証情報を保存しなく てよくなるため、認証情報の流出の危険性がなくなる。 • GitHub ActionsのworkflowからAWSのリソースに対するアクセス制御を柔軟 に行うことができる。