Remarque : Les exécuteurs hébergés sur GitHub ne sont pas pris en charge sur GitHub Enterprise Server. Vous pouvez voir plus d’informations sur le support futur planifié dans la GitHub public roadmap.
Vue d’ensemble
OpenID Connect (OIDC) permet à vos workflows GitHub Actions d’accéder aux ressources dans Google Cloud Platform (GCP), sans avoir à stocker d’informations d’identification GPC en tant que secrets GitHub à long terme.
Ce guide offre une vue d’ensemble sur la façon de configurer GCP pour approuver le protocole OIDC de GitHub en tant qu’identité fédérée et il inclut un exemple de workflow pour l’action google-github-actions/auth qui utilise des jetons pour s’authentifier auprès de GCP et accéder aux ressources.
Prérequis
-
Pour en savoir plus sur les concepts de base décrivant la façon dont GitHub utilise OIDC (OpenID Connect) ainsi que sur son architecture et ses avantages, consultez « À propos du renforcement de la sécurité avec OpenID Connect ».
-
Avant de continuer, vous devez planifier votre stratégie de sécurité pour veiller à ce que les jetons d’accès soient uniquement alloués de manière prévisible. Pour contrôler la façon dont votre fournisseur de cloud émet des jetons d’accès, vous devez définir au moins une condition, afin que les dépôts non approuvés ne puissent pas demander de jetons d’accès à vos ressources cloud. Pour plus d’informations, consultez « À propos du renforcement de la sécurité avec OpenID Connect ».
Ajout d’un fournisseur d’identité de charge de travail Google Cloud
Pour configurer le fournisseur d’identité OIDC dans GCP, vous devez effectuer la configuration suivante. Pour obtenir des instructions afin d’apporter ces modifications, reportez-vous à la documentation GCP.
- Créez un nouveau pool d’identités.
- Configurez le mappage et ajoutez des conditions.
- Connectez le nouveau pool à un compte de service.
Conseils supplémentaires pour la configuration du fournisseur d’identité :
- Pour durcir la sécurité, veillez à consulter « À propos du renforcement de la sécurité avec OpenID Connect ». Pour obtenir un exemple, consultez « À propos du renforcement de la sécurité avec OpenID Connect ».
- Pour que le compte de service soit disponible pour la configuration, il doit être affecté au rôle
roles/iam.workloadIdentityUser. Pour plus d’informations, consultez la documentation de GCC. - URL de l’émetteur à utiliser :
https://HOSTNAME/_services/token
Mise à jour de votre workflow GitHub Actions
Pour mettre à jour vos workflows pour OIDC, vous devez apporter deux modifications à votre code YAML :
- Ajoutez des paramètres d’autorisations pour le jeton.
- Utilisez l’action
google-github-actions/authpour échanger le jeton OIDC (JWT) afin d’obtenir un jeton d’accès cloud.
Remarque : lorsque des environnements sont utilisés dans des workflows ou dans des stratégies OIDC, nous vous recommandons d’ajouter des règles de protection à l’environnement pour plus de sécurité. Par exemple, vous pouvez configurer des règles de déploiement sur un environnement pour restreindre les branches et balises pouvant être déployées dans l’environnement ou accéder aux secrets d’environnement. Pour plus d’informations, consultez « Gestion des environnements pour le déploiement ».
Ajout de paramètres d’autorisations
L’exécution du projet ou du flux de travail nécessite un paramètre permissions avec id-token: write pour autoriser le fournisseur OIDC de GitHub à créer un JSON Web Token pour chaque exécution. Vous ne pourrez pas demander le jeton OIDC JWT ID si le permissions pour id-token n’est pas défini sur write, mais cette valeur n’implique pas l’octroi d’un accès en écriture à des ressources, permettant uniquement de récupérer et de définir le jeton OIDC pour une action ou une étape afin de permettre l’authentification avec un jeton d’accès à courte durée. Tout paramètre d’approbation réel est défini à l’aide de revendications OIDC, pour plus d’informations, consultez « À propos du renforcement de la sécurité avec OpenID Connect ».
Le paramètre id-token: write permet au JWT d’être demandé à partir du fournisseur OIDC de GitHub à l’aide de l’une des approches suivantes :
- Utilisation de variables d’environnement sur l’exécuteur (
ACTIONS_ID_TOKEN_REQUEST_URLetACTIONS_ID_TOKEN_REQUEST_TOKEN). - Utilisation du
getIDToken()issu du kit de ressources Actions.
Si vous devez extraire un jeton OIDC pour un workflow, l’autorisation peut être définie au niveau du workflow. Par exemple :
permissions: id-token: write # This is required for requesting the JWT contents: read # This is required for actions/checkout
permissions:
id-token: write # This is required for requesting the JWT
contents: read # This is required for actions/checkout
Si vous avez uniquement besoin d’extraire un jeton OIDC pour un seul travail, alors cette autorisation peut être définie au sein de ce travail. Par exemple :
permissions: id-token: write # This is required for requesting the JWT
permissions:
id-token: write # This is required for requesting the JWT
Vous aurez peut-être besoin de spécifier des autorisations supplémentaires ici, en fonction des exigences liées à votre workflow.
Pour les workflows réutilisables appartenant au même utilisateur, à la même organisation ou à la même entreprise que le workflow de l’appelant, le jeton OIDC généré dans le workflow réutilisable est accessible à partir du contexte de l’appelant.
Pour les workflows réutilisables en dehors de votre entreprise ou organisation, le paramètre permissions pour id-token doit être défini explicitement avec la valeur write au niveau du workflow de l’appelant ou dans le travail spécifique qui appelle le workflow réutilisable.
Cela garantit que le jeton OIDC généré dans le workflow réutilisable n’est autorisé à être consommé dans les workflows de l’appelant que si c’est prévu.
Pour plus d’informations, consultez « Réutilisation des workflows ».
Demande du jeton d’accès
L’action google-github-actions/auth reçoit un jeton JWT à partir du fournisseur OIDC GitHub, puis demande un jeton d’accès à partir de GCP. Pour plus d’informations, consultez la documentation GCP.
Cet exemple comporte un travail appelé Get_OIDC_ID_token qui utilise des actions pour demander une liste de services à partir de GCP.
WORKLOAD-IDENTITY-PROVIDER: remplacez cela par le chemin d’accès à votre fournisseur d’identité dans GCP. Par exemple,projects/example-project-id/locations/global/workloadIdentityPools/name-of-pool/providers/name-of-providerSERVICE-ACCOUNT: remplacez cela par le nom de votre compte de service dans GCP.
Cette action permet d’échanger un jeton OIDC GitHub pour obtenir un jeton d’accès Google Cloud, à l’aide de la fédération d’identité de charge de travail.
name: List services in GCP
on:
pull_request:
branches:
- main
permissions:
id-token: write
jobs:
Get_OIDC_ID_token:
runs-on: ubuntu-latest
steps:
- id: 'auth'
name: 'Authenticate to GCP'
uses: 'google-github-actions/auth@f1e2d3c4b5a6f7e8d9c0b1a2c3d4e5f6a7b8c9d0'
with:
create_credentials_file: 'true'
workload_identity_provider: 'WORKLOAD-IDENTITY-PROVIDER'
service_account: 'SERVICE-ACCOUNT'
- id: 'gcloud'
name: 'gcloud'
run: |-
gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
gcloud services list
name: List services in GCP
on:
pull_request:
branches:
- main
permissions:
id-token: write
jobs:
Get_OIDC_ID_token:
runs-on: ubuntu-latest
steps:
- id: 'auth'
name: 'Authenticate to GCP'
uses: 'google-github-actions/auth@f1e2d3c4b5a6f7e8d9c0b1a2c3d4e5f6a7b8c9d0'
with:
create_credentials_file: 'true'
workload_identity_provider: 'WORKLOAD-IDENTITY-PROVIDER'
service_account: 'SERVICE-ACCOUNT'
- id: 'gcloud'
name: 'gcloud'
run: |-
gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
gcloud services list