OpenID Connect (OIDC) — це протокол, який дозволяє виконувати автентифікацію та авторизацію користувачів через сторонні сервіси, такі як AWS, без необхідності зберігати довгострокові статичні секрети (наприклад, ключі доступу). Використання OIDC в контексті GitHub Actions забезпечує підвищену безпеку та зручність під час взаємодії з зовнішніми сервісами.

Налаштування OpenID Connect для автентифікації GitHub Actions із зовнішніми сервісами

Що таке OpenID Connect і чому його варто використовувати?

OpenID Connect дозволяє сервісам, таким як AWS, довіряти GitHub як авторизованому постачальнику ідентифікації без необхідності передачі та зберігання статичних секретів. Це робить автентифікацію більш безпечною, оскільки знижує ризик компрометації статичних ключів доступу.

Як налаштувати OpenID Connect для GitHub Actions?

1. Створення постачальника OpenID Connect в AWS:
   • Перейдіть до IAM сервісу в AWS Management Console.
   • Додайте нового постачальника ідентифікації (Identity Provider) для OpenID Connect.
   • Використовуйте наступні параметри:
     • URL постачальника: https://token.actions.githubusercontent.com
     • Аудиторія (Audience): sts.amazonaws.com
   • Далі натисніть кнопку "Get thumbprint" і завершить створення.
2. Створення ролі для OpenID Connect:
   • Після додавання постачальника створіть роль (Role), яку GitHub зможе "взяти на себе" для отримання тимчасових повноважень.
   • Під час створення ролі виберіть "Web identity" як тип довіри і використовуйте вашого новоствореного OpenID постачальника.
   • Додайте потрібні політики доступу до ролі (наприклад, AmazonS3FullAccess для доступу до S3).
3. Налаштування GitHub Actions для використання OIDC:

   • У вашому workflow додайте спеціальний крок, який використовує дію aws-actions/configure-aws-credentials для отримання тимчасових повноважень через OIDC.

   • Необхідно також додати права доступу для токенів у workflow:

     permissions:
       id-token: write
       contents: read
     
     

   • Прив'яжіть роль AWS до дії:

     - name: Configure AWS credentials
       uses: aws-actions/configure-aws-credentials@v1
       with:
         role-to-assume: arn:aws:iam::123456789012:role/GitHubOIDCRole
         aws-region: us-east-1
     
     

Переваги використання OpenID Connect:

• Безпека: Виключає необхідність використання довгострокових статичних секретів.
• Зручність: Автоматичне управління токенами доступу, які мають короткий термін дії.
• Гнучкість: Можливість легко налаштовувати різні рівні доступу на основі політик і ролей.

Таким чином, використання OpenID Connect для автентифікації GitHub Actions надає безпечний, простий та ефективний спосіб керування доступом до ресурсів у зовнішніх сервісах, таких як AWS.