SSHエージェントのフォワーディング、OAuthトークンでのHTTPS、デプロイキー、マシンユーザを使ってデプロイメントスクリプトを自動化する際に、サーバー上のSSHキーを管理できます。
SSHエージェントのフォワーディング
多くの場合、特にプロジェクトの開始時には、SSHエージェントのフォワーディングが最も素早くシンプルに使える方法です。 エージェントのフォワーディングでは、ローカルの開発コンピュータで使うのと同じSSHキーを使います。
長所
- 新しいキーを生成したり追跡したりしなくていい。
- キーの管理は不要。ユーザはローカルと同じ権限をサーバーでも持つ。
- サーバーにキーは保存されないので、サーバーが侵害を受けた場合でも、侵害されたキーを追跡して削除する必要はない。
短所
- ユーザはデプロイするためにSSHしなければならない。自動化されたデプロイプロセスは利用できない。
- SSHエージェントのフォワーディングは、Windowsのユーザが実行するのが面倒。
セットアップ
- エージェントのフォワーディングをローカルでオンにしてください。 詳しい情報についてはSSHエージェントフォワーディングのガイドを参照してください。
- エージェントフォワーディングを使用するように、デプロイスクリプトを設定してください。 たとえばbashのスクリプトでは、以下のようにしてエージェントのフォワーディングを有効化することになるでしょう。
ssh -A serverA 'bash -s' < deploy.sh
OAuthトークンを使ったHTTPSでのクローニング
SSHキーを使いたくないなら、OAuthトークンでHTTPSを利用できます。
長所
-
サーバーにアクセスできる人なら、リポジトリをデプロイできる。
-
ユーザはローカルのSSH設定を変更する必要がない。
-
複数のトークン(ユーザごと)が必要ない。サーバーごとに1つのトークンで十分。
-
トークンはいつでも取り消しできるので、本質的には使い捨てのパスワードにすることができる。
-
新しいトークンの作成は、OAuth APIを使って容易にスクリプト化できる。
短所
- トークンを確実に正しいアクセススコープで設定しなければならない。
- トークンは本質的にはパスワードであり、パスワードと同じように保護しなければならない。
セットアップ
トークンでのGit自動化ガイドを参照してください。
デプロイキー
You can launch projects from a GitHub Enterprise Server repository to your server by using a deploy key, which is an SSH key that grants access to a single repository. GitHub Enterprise Server attaches the public part of the key directly to your repository instead of a personal user account, and the private part of the key remains on your server. For more information, see "Delivering deployments."
書き込みアクセス権を持つキーをデプロイすれば、管理アクセス権を持つOrganizationのメンバー、あるいは個人リポジトリのコラボレータと同じアクションを行えます。 詳しい情報については「Organizationのリポジトリ権限レベル」及び「ユーザアカウントリポジトリの権限レベル」を参照してください。
長所
- リポジトリとサーバーにアクセスできる人は、誰でもプロジェクトをデプロイできる。
- ユーザはローカルのSSH設定を変更する必要がない。
- デプロイキーはデフォルトではリードオンリーだが、リポジトリに追加する際には書き込みアクセス権を与えることができる。
短所
- デプロイキーは単一のリポジトリに対するアクセスだけを許可できる。 より複雑なプロジェクトは、同じサーバーからプルする多くのリポジトリを持っていることがある。
- デプロイキーは通常パスフレーズで保護されていないので、サーバーが侵害されると簡単にキーにアクセスされることになる。
セットアップ
- サーバー上で
ssh-keygen
の手順を実行し、生成された公開/秘密RSAキーのペアを保存した場所を覚えておいてください。 - GitHub Enterprise Serverの任意のページの右上で、プロフィールの写真をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。
- プロフィールページでRepositories(リポジトリ)をクリックし、続いてリポジトリの名前をクリックしてください。
- リポジトリでSettings(設定)をクリックしてください。
- サイドバーでDeploy Keys(デプロイキー)をクリックし、続いてAdd deploy key(デプロイキーの追加)をクリックしてください。
- タイトルを入力し、公開鍵に貼り付けてください。
- このキーにリポジトリへの書き込みアクセスを許可したい場合は、Allow write access(書き込みアクセスの許可)を選択してください。 書き込みアクセス権を持つデプロイキーを使うと、リポジトリにデプロイメントのプッシュができるようになります。
- Add key(キーの追加)をクリックしてください。
1つのサーバー上で複数のリポジトリを利用する
1つのサーバー上で複数のリポジトリを使うなら、それぞれのリポジトリに対して専用のキーペアを生成しなければなりません。 複数のリポジトリでデプロイキーを再利用することはできません。
サーバーのSSH設定ファイル(通常は~/.ssh/config
)に、それぞれのリポジトリに対してエイリアスエントリを追加してください。 例:
Host my-GHE-hostname.com-repo-0
Hostname my-GHE-hostname.com
IdentityFile=/home/user/.ssh/repo-0_deploy_key
Host my-GHE-hostname.com-repo-1
Hostname my-GHE-hostname.com
IdentityFile=/home/user/.ssh/repo-1_deploy_key
Host my-GHE-hostname.com-repo-0
- リポジトリのエイリアス。Hostname my-GHE-hostname.com
- エイリアスで使うホスト名の設定。IdentityFile=/home/user/.ssh/repo-0_deploy_key
- このエイリアスに秘密鍵を割り当てる。
こうすれば、ホスト名のエイリアスを使ってSSHでリポジトリとやりとりできます。この場合、このエイリアスに割り当てられたユニークなデプロイキーが使われます。 例:
$ git clone git@my-GHE-hostname.com-repo-1:OWNER/repo-1.git
マシンユーザ
サーバーが複数のリポジトリにアクセスしなければならないのであれば、自動化専用に使われる新しいGitHub Enterprise Serverアカウントを作成し、SSHキーを添付できます。 このGitHub Enterprise Serverアカウントは人によって使われることはないので、マシンユーザと呼ばれます。 マシンユーザは、個人リポジトリにはコラボレータとして(読み書きのアクセスを許可)、Organizationのリポジトリには外部のコラボレータとして(読み書き及び管理アクセスを許可)、あるいは自動化する必要があるリポジトリへのアクセスを持つTeamに(そのTeamの権限を許可)追加できます。
長所
- リポジトリとサーバーにアクセスできる人は、誰でもプロジェクトをデプロイできる。
- (人間の)ユーザがローカルのSSH設定を変更する必要がない。
- 複数のキーは必要ない。サーバーごとに1つでよい。
短所
- Organizationだけがマシンユーザをリードオンリーのアクセスにできる。 個人リポジトリは、常にコラボレータの読み書きアクセスを許可する。
- マシンユーザのキーは、デプロイキーのように、通常パスフレーズで保護されない。
セットアップ
- サーバー上で
ssh-keygen
の手順を実行し、公開鍵をマシンユーザアカウントに添付してください。 - マシンユーザアカウントに自動化したいリポジトリへのアクセスを付与してください。 これは、アカウントをコラボレータ、外部のコラボレータとして、あるいはOrganization内のTeamに追加することでも行えます。