GitHub ActionsがOpenID Connectをサポート。GitHubからクラウドへのデプロイがより安全に

2021年11月1日

GitHubは10月27日と28日の2日間(太平洋時間)、オンラインイベント「GitHub Universe 2021」を開催、GitHub Actionsの新機能としてOpenID Connectをサポートしたと発表しました

GitHub Actionsは、GitHubのイベントなどをトリガーとしてGitHubのサーバ上に用意された任意のDockerコンテナの実行を連係させていくことにより、ユーザーが自由にワークフローを定義できるというものです。

ワークフロー内のアクションとしてコードのビルドやテストの実行、クラウドへのデプロイなど、GitHubの機能にとらわれない、さまざまな動作を組み合わせることができます。

参考:[速報]GitHub Actions発表、Dockerコンテナの連係によるワークフローを自由に定義可能。GitHub Universe 2018

しかし、例えばこのGitHub Actionsを使ってGitHubから任意のパブリッククラウドへソフトウェアをデプロイする場合、クラウド側のクレデンシャルをGitHub Actions側に保存するなど、クラウド側で設定したセキュリティに対応する設定をGitHub側でも行う必要がありました。

GitHub ActionsのOpenID Connect対応は、こうしたセキュリティ管理をより安全かつ便利にするものです。

手順としては下記のGitHubによる図で説明されています。

fig

具体的には、まずクラウド上でGitHub側のデプロイ操作に対応するOpenID Connectのロールを設定します。

次に、GitHub Actionsワークフローによるデプロイ操作ごとに、OpenID ConnectのJWT(JSON Web Token)トークンをクラウドに提示します。

クラウドが提示されたトークンを確認し、受け入れた場合、デプロイ操作のあいだだけ有効な、ロールに対応したアクセストークンをGitHub Actionsに返します。

これによりGitHub Actionsのセキュリティ確保の仕組みをOpenID Connectに任せつつ、GitHub側には必要最小限の設定情報とアクセス権限のみで済むようになります。

このエントリーをはてなブックマークに追加
follow us in feedly


関連タグ プログラミング言語 / GitHub



タグクラウド(β版)

クラウド / AWS / Azure / Google Cloud
コンテナ / Docker / Kubernetes
クラウドネイティブ / サーバレス
クラウド障害 / 運用・監視

プログラミング言語 / 開発ツール
JavaScript / Java / .NET / WebAssembly
HTML/CSS / Web標準
アジャイル開発 / スクラム / DevOps / CI/CD
ソフトウェアテスト・品質
ローコード/ノーコード開発

データベース / RDB / NoSQL / 機械学習・AI
Oracle Database / MySQL / PostgreSQL
Office / 業務アプリケーション

ネットワーク / HTTP / QUIC / セキュリティ
OS / Windows / Linux / VMware
ハードウェア / サーバ / ストレージ

業界動向 / 働き方 / 給与・年収
編集後記 / 殿堂入り / おもしろ

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


最新記事10本