Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GitHub ActionsのOIDC認証

Avatar for tomokon tomokon
March 01, 2022
Programming
1
200

GitHub ActionsのOIDC認証

2021年に新しく発表された、GitHub ActionsのOIDC認証機能についての紹介。
Avatar for tomokon

tomokon

March 01, 2022
Tweet

More Decks by tomokon

See All by tomokon
Goによるインタプリタ開発
Avatar for tomokon tomokon
1
68
初めてのTerraform
Avatar for tomokon tomokon
1
34
ハッカソンで便利なインフラ構築サービス
Avatar for tomokon tomokon
0
240
テスト、テスト、テスト!
Avatar for tomokon tomokon
0
54

Other Decks in Programming

See All in Programming
iOSアプリ開発で 関数型プログラミングを実現する The Composable Architectureの紹介
Avatar for yimajo yimajo
2
200
SODA - FACT BOOK
Avatar for SODA inc. sodainc
1
810
Enterprise Web App. Development (2): Version Control Tool Training Ver. 5.1
Avatar for Koichi NAKAGAWA knakagawa
1
110
KotlinConf 2025 現地で感じたServer-Side Kotlin
Avatar for Takehata Naoto n_takehata
1
180
型付きアクターモデルがもたらす分散シミュレーションの未来
Avatar for Takatomo Torigoe piyo7
0
750
Haskell でアルゴリズムを抽象化する / 関数型言語で競技プログラミング
Avatar for Naoya Ito naoya
16
3.8k
インターフェース設計のコツとツボ
Avatar for おぎ togishima
2
690
つよそうにふるまい、つよい成果を出すのなら、つよいのかもしれない
Avatar for irof irof
1
270
〜可視化からアクセス制御まで〜 BigQuery×Looker Studioで コスト管理とデータソース認証制御する方法
Avatar for CUEBiC Inc. cuebic9bic
3
320
Perlで痩せる
Avatar for Yuuki Shimizu yuukis
1
680
XSLTで作るBrainfuck処理系
Avatar for MakKi makki_d
0
180
イベントストーミングから始めるドメイン駆動設計
Avatar for おだかとしゆき jgeem
4
800

Featured

See All Featured
Making Projects Easy
Avatar for Brett Harned brettharned
116
6.2k
Docker and Python
Avatar for Tania Allard trallard
44
3.4k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
252
21k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
81
9k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.3k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
367
19k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
71
4.9k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
31
1.2k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
172
14k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
42
7.5k

Transcript

  1. GitHub ActionsのOIDC認証 東北大学4年 近藤智文 @tomokon_0314

  2. 目次 1. OIDCとは 2. GitHub ActionsのOIDC認証機能 3. デモ 4. まとめ

  3. 1. OIDCとは Open ID Connectの略 信頼されたOIDCプロバイダーが提供するトークンによって認証・認可を行う仕組 み。 OIDCのユーザーとなるサービスは、認証された主体の情報を示す「IDトークン」 や、認可されたアクションを示す「アクセストークン」というトークンを認可 サーバーに発行してもらう。

    リソースサーバーに対するリクエストにそれらのトークンを含めることで、リ ソースに対して許可されたアクションを行うことができる。

  4. 1. OIDCとは

  5. 2. GitHub ActionsのOIDC認証機能 1. Cloud Providerの方でGitHubの特定の組織・リポジトリ・ブランチに対して アクションを許可するロールを作成しておく 2. GitHub ActionsのジョブでJWTを発行してCloud

    Providerにリクエストし、 アクセストークンを得る 3. 得たトークンを使ってCloud ProviderのAPIを叩くなどして、Cloud Provider のリソースに対するアクション(サービスのデプロイとか)を実行する。 About security hardening with OpenID Connectより引用

  6. 2. GitHub ActionsのOIDC認証機能 メリット 従来は、AWSのリソースに対して特定のアクションを実行できるユーザーを作成 し、そのユーザーのアクセスキーとシークレットキー(IDとパスワードみたいなも の)をGitHubのsecretsに登録してGitHub Actionsで利用していた。 しかし、それでは認証情報をAWSの外部に置くことになるので流出の危険があり セキュリティ的に良くない。

    OIDC認証を使うことで、workflow実行時に毎度発行される短命なトークンを利 用して認証を行えるため、secretsに認証情報を保存しなくてよくなる

  7. 3. デモ GitHub ActionsのOIDC認証を使用し、AWSのリソースに対してアクションの制 御を行うデモをする。

  8. 3. デモ AWSにてOIDCプロバイダを設定する

  9. 3. デモ AWSにてOIDCプロバイダを設定する Provider URL https://token.actions.githubuserconte nt.com Audience sts.amazonaws.com

  10. 3. デモ AWSにてOIDC用のロールを作成する

  11. 3. デモ OIDC用ロールの信頼ポリシー 例(抜粋) ``` "Principal": { "Federated":"arn:aws:iam::<アカウントID>:oidc-provider/token.actions.githubusercontent.com" }, "Action":

    "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub":"repo:<GitHubの組織名>/<GitHubのリポジトリ 名>:ref:refs/heads/main", "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } ```

  12. 3. デモ OIDC用ロールに紐づける権限(抜粋) 今回は`sts get-caller-identity`を実行できる権限を付与しておく ``` { "Effect": "Allow", "Action":

    "sts:GetCallerIdentity", "Resource": "*" } ```

  13. 3. デモ GitHubにてテスト用リポジトリの作成 組織名・リポジトリ名は先ほど設定した信頼ポリシーに一致させる 今回はこれで↓

  14. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) GitHub OIDC Providerが発行するOIDC認証用のJWTを使うための権限の設定 ``` permissions: id-token:

    write ```

  15. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) AWSから先ほど作ったロールに紐づくトークンを取得する ``` - name: configure AWS

    credentials uses: aws-actions/configure-aws-credentials@v1 with: role-to-assume: arn:aws:iam::${{ secrets.AWS_ACCOUNT_ID }}:role/github-oidc-test role-session-name: testrolesession aws-region: ${{ env.AWS_REGION }} ```

  16. OIDC認証を使うGitHub Actionsのworkflow(抜粋) 前のステップで取得したトークンを同封してAWSのAPIを叩く ``` - name: get caller identity run:

    | aws sts get-caller-identity ``` 3. デモ

  17. 3. デモ OIDC認証を使うGitHub Actionsのworkflow(抜粋) workflowの結果

  18. 4. まとめ • GitHub ActionsのOIDC認証を使うことで、secretsに認証情報を保存しなく てよくなるため、認証情報の流出の危険性がなくなる。 • GitHub ActionsのworkflowからAWSのリソースに対するアクセス制御を柔軟 に行うことができる。