Remarque : Les exécuteurs hébergés sur GitHub ne sont pas pris en charge sur GitHub Enterprise Server. Vous pouvez voir plus d’informations sur le support futur planifié dans la GitHub public roadmap.
Vue d’ensemble
OpenID Connect (OIDC) permet à vos workflows GitHub Actions d’accéder aux ressources dans Amazon Web Services (AWS), sans avoir à stocker d’informations d’identification AWS en tant que secrets GitHub à long terme.
Ce guide explique comment configurer AWS pour approuver le protocole OIDC de GitHub en tant qu’identité fédérée et il inclut un exemple de workflow pour aws-actions/configure-aws-credentials qui utilise des jetons pour s’authentifier auprès d’AWS et accéder aux ressources.
Prérequis
-
Pour en savoir plus sur les concepts de base décrivant la façon dont GitHub utilise OIDC (OpenID Connect) ainsi que sur son architecture et ses avantages, consultez « À propos du renforcement de la sécurité avec OpenID Connect ».
-
Avant de continuer, vous devez planifier votre stratégie de sécurité pour veiller à ce que les jetons d’accès soient uniquement alloués de manière prévisible. Pour contrôler la façon dont votre fournisseur de cloud émet des jetons d’accès, vous devez définir au moins une condition, afin que les dépôts non approuvés ne puissent pas demander de jetons d’accès à vos ressources cloud. Pour plus d’informations, consultez « À propos du renforcement de la sécurité avec OpenID Connect ».
Ajout du fournisseur d’identité à AWS
Pour ajouter le fournisseur OIDC GitHub à IAM, consultez la documentation AWS.
- Pour l’URL du fournisseur : Utilisez
https://HOSTNAME/_services/token - Pour le « public » : utilisez
sts.amazonaws.comsi vous utilisez l’action officielle.
Configuration du rôle et de la stratégie d’approbation
Pour configurer le rôle et l’approbation dans IAM, consultez la documentation AWS pour « adopter un rôle » et « créer un rôle pour la fédération d’identité web ou OpenID Connect Federation ».
Modifiez la relation de stratégie pour ajouter le champ sub aux conditions de validation. Par exemple :
"Condition": {
"StringEquals": {
"HOSTNAME/_services/token:aud": "sts.amazonaws.com",
"HOSTNAME/_services/token:sub": "repo:octo-org/octo-repo:ref:refs/heads/octo-branch"
}
}Dans l’exemple suivant, StringLike est utilisé avec un opérateur générique (*) pour autoriser toute branche, toute branche de fusion de demande de tirage ou tout environnement de l’organisation octo-org/octo-repo et du dépôt à assumer un rôle dans AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::123456123456:oidc-provider/token.actions.githubusercontent.com"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringLike": {
"token.actions.githubusercontent.com:sub": "repo:octo-org/octo-repo:*"
},
"StringEquals": {
"token.actions.githubusercontent.com:aud": "sts.amazonaws.com"
}
}
}
]
}Mise à jour de votre workflow GitHub Actions
Pour mettre à jour vos workflows pour OIDC, vous devez apporter deux modifications à votre code YAML :
- Ajoutez des paramètres d’autorisations pour le jeton.
- Utilisez l’action
aws-actions/configure-aws-credentialspour échanger le jeton OIDC (JWT) afin d’obtenir un jeton d’accès cloud.
Ajout de paramètres d’autorisations
L’exécution du travail ou du workflow nécessite un paramètre permissions avec id-token: write. Vous ne pourrez pas demander le jeton OIDC JWT ID si le paramètre permissions est id-token a la valeur read ou none.
Le paramètre id-token: write permet au JWT d’être demandé à partir du fournisseur OIDC de GitHub à l’aide de l’une des approches suivantes :
- Utilisation de variables d’environnement sur l’exécuteur (
ACTIONS_ID_TOKEN_REQUEST_URLetACTIONS_ID_TOKEN_REQUEST_TOKEN). - Utilisation du
getIDToken()issu du kit de ressources Actions.
Si vous devez extraire un jeton OIDC pour un workflow, l’autorisation peut être définie au niveau du workflow. Par exemple :
permissions:
id-token: write # This is required for requesting the JWT
contents: read # This is required for actions/checkoutSi vous avez uniquement besoin d’extraire un jeton OIDC pour un seul travail, alors cette autorisation peut être définie au sein de ce travail. Par exemple :
permissions:
id-token: write # This is required for requesting the JWTVous aurez peut-être besoin de spécifier des autorisations supplémentaires ici, en fonction des exigences de votre workflow.
Pour les workflows réutilisables, le paramètre permissions pour id-token doit être défini avec la valeur write au niveau du workflow de l’appelant ou dans le travail spécifique qui appelle le workflow réutilisable. Pour plus d’informations, consultez « Réutilisation des workflows ».
Demande du jeton d’accès
L’action aws-actions/configure-aws-credentials reçoit un jeton JWT à partir du fournisseur OIDC GitHub, puis demande un jeton d’accès à partir d’AWS. Pour plus d’informations, consultez la documentation AWS.
<example-bucket-name>: ajoutez ici le nom de votre compartiment S3.<role-to-assume>: remplacez l’exemple par votre rôle AWS.<example-aws-region>: ajoutez ici le nom de votre région AWS.
# Sample workflow to access AWS resources when workflow is tied to branch
# The workflow Creates static website using aws s3
name: AWS example workflow
on:
push
env:
BUCKET_NAME : "<example-bucket-name>"
AWS_REGION : "<example-aws-region>"
# permission can be added at job level or workflow level
permissions:
id-token: write # This is required for requesting the JWT
contents: read # This is required for actions/checkout
jobs:
S3PackageUpload:
runs-on: ubuntu-latest
steps:
- name: Git clone the repository
uses: actions/checkout@v3
- name: configure aws credentials
uses: aws-actions/configure-aws-credentials@v2
with:
role-to-assume: arn:aws:iam::1234567890:role/example-role
role-session-name: samplerolesession
aws-region: ${{ env.AWS_REGION }}
# Upload a file to AWS s3
- name: Copy index.html to s3
run: |
aws s3 cp ./index.html s3://${{ env.BUCKET_NAME }}/