Usar una puerta de enlace de API con OIDC
Con GitHub Actions, puedes usar tokens de OpenID Connect (OIDC) para autenticar el flujo de trabajo fuera de GitHub Actions. Por ejemplo, podrías ejecutar una puerta de enlace de API en el perímetro de la red privada que autentique las solicitudes entrantes con el token de OIDC y, después, realice solicitudes de API en nombre del flujo de trabajo en la red privada.
En el diagrama siguiente se proporciona información general sobre la arquitectura de esta solución:
Es importante que verifique no solo que el token de OIDC provenga de GitHub Actions, sino que provenga específicamente de los flujos de trabajo esperados, de modo que otros usuarios de GitHub Actions no puedan acceder a los servicios de la red privada. Puedes usar notificaciones de OIDC para crear estas condiciones. Para más información, consulta Acerca del fortalecimiento de seguridad con OpenID Connect.
Las desventajas de este enfoque es que tiene que implementar la puerta de enlace de API para realizar solicitudes en tu nombre, así como ejecutar la puerta de enlace en su perímetro de red.
Se aplican las siguientes ventajas.
- No es necesario configurar ningún firewall ni modificar el enrutamiento de la red privada.
- La puerta de enlace de API es sin estado y, por lo tanto, se escala horizontalmente para controlar la alta disponibilidad y el alto rendimiento.
Para más información, consulte una implementación de referencia de una puerta de enlace de API en el repositorio github/actions-oidc-gateway. Esta implementación requiere personalización para el caso de uso y no está lista para ejecutarse tal cual. Para más información, consulta Acerca del fortalecimiento de seguridad con OpenID Connect.