2021年11月25日

何番煎じ案件ですが、社内にて OIDC 経由で GitHub Actions に AWS アクセスしようぜが話題に上がっていたため、自分の方でも素振りをしてみたので備忘録を残しておきます。 社内の強い人たちの足跡をほぼほぼ辿っただけでしたが、永続的な Credentials を Actions に残したくない気持ちは同じだったので本当に助かります :man-bowing: OIDC 自体の解説は コチラが参考になるかと思います。 まず、AWS 側で GitHub 向けの OIDC と role を設定します。 CDK のサンプルソースが見当たらず、公式が提供する AWS 向けの OIDC カスタムアクション aws-actions/configure-aws-credentials に CFn テンプレートが記述されていたため、それを参考に CDK を起こしています。 CDK で私が記述した場合は以下になります 次に Actions になります。 以下は、認証を済ませた後に、Container Image を build、push する CI のサンプルになります。 コチラ を参考にしています。 永続的な credentials を排除できたのですが、role の 細かい policy 管理が出てきたため面倒だなとも思っています と言いつつ、今までいい加減に管理していたフルフルな role を正すのに良い機会だとも思っています :man-bowing: