こんにちは、CX事業本部 IoT事業部の若槻です。 GitHub ActionsではOpenID Connect(OIDC)がサポートされたため、AWSなどと安全にキーのやり取りが可能となっています。 Secure deployments with OpenID Connect & GitHub Actions now generally available | The GitHub Blog GitHub ActionsをAWSとOIDC連携する場合は、「ID Provider」と「IAM Role」をAWS上に作成する必要があるのですが、これらリソースをAWS CDKで作ってコードで管理するようにしてみました。 やってみた 以前作ったID Providerの確認、削除 以前にコンソールから手動で作成した同じくGitHubとのOIDC連携用のID Providerを取得します。 $ OP
こんにちは、CX事業本部 IoT事業部の若槻です。 昨年にGitHub ActionsでのOpenID Connect(OIDC)がサポートされるようになりました。 Secure deployments with OpenID Connect & GitHub Actions now generally available | The GitHub Blog これにより、AWSやAzure、Google Cloudなどの各種プロバイダーと連携してWorkflowの実行時にクレデンシャルを発行し、クラウドへのシステムのデプロイ時の認証に使用することができるようになります。このクレデンシャルは一時的にしか使用できないため、パーマネントなアクセスキーを使用する場合に比べて、漏洩時に悪用されるリスクを大きく軽減することができます。 今回は、GitHub ActionsでOpenID Connect
2022/1/8 aws-actions/configure-aws-credentials@v1アップデートを反映しました https://dev.classmethod.jp/articles/aws-configure-credentials-v1 吉川@広島です。 [GitHub Actions]aws-actions/configure-aws-credentialsを使ってOIDCプロバイダを介したSwitchRoleをする | DevelopersIO 先日こちらのブログを書いたのですが、色々と変わったため、最新内容を反映した手順を新しくブログにすることにしました(古い記事には注釈を入れておきます)。 IDプロバイダを作成 まずIAM ID Providerを作成します。 プロバイダのタイプ: OpenIDConnect プロバイダのURL: https://token.ac
それでは、1パターンずつ構成を確認していきます。 1. 全部GitHub Actionsでやる GitHub Actionsでパイプライン全体を構築する場合は、以下の図のような構成になります。 ちなみに、GitHubのDeploymentsを使用することで、Slackと組み合わせてのChatOpsや、任意のコミットのデプロイを実行などいろいろと便利になります。 ですが、Deployments APIをパイプラインで利用するには、Actionsのトリガーの条件を変えたり、ECSへのデプロイの成否に応じてAPIを使ってDeploymentのステータスを更新したりする処理が必要になり、少々パイプラインが複雑化してしまいます。 なので、今回の趣旨とちょっとずれているため、各パターンには記載していません。 では、以下で処理を順に説明していきます。 Image Build 図中の Build Imag
その昔、初めてのサーバーレスアプリケーション開発というブログを書きました。 このシリーズを通して出来上がるものは、AWSのコードシリーズを用いてAWSリソースをデプロイするためのパイプラインです。 時は流れ、2020年。同じような仕組みを作るのであればCDKとGithub Actions使いたいという思いに駆られたので、こんな感じのパイプラインを作成してみました。 今回作成したコードは以下のリポジトリにあげています。 cdk-github-actions 目次 CDKとGithub Actions 今回構築するアプリケーションの全体構成はこちら。 CDKで「クライアントからリクエストを受けて文字列を返却する」簡単なアプリケーションを作成します。 AWSにデプロイされるまでの流れは以下のようになります。 ローカルでCDKを使ったアプリケーションを作成 featureブランチを作成しmaste
CloudFormation Guard を使うことで、CloudFormation をデプロイ前にコンプライアンスチェックできます。 前回の記事は、CloudFormation Guard をローカルで実行しました。 CloudFormation Guard を CI/CD パイプラインに組み込むことによって、デプロイ前にチェックし、コンプライアンスに準拠していないリソースがデプロイされることを防げます。 本記事では、CI/CD パイプラインに GitHub Actions を使ったパターンを試してみます。 なお、CodeCommit / CodePipeline / CodeBuild を使用するパターンについては、以下の公式ブログで紹介されています。 やってみた CloudFormation Guard で「SSHポートが全公開されているセキュリティグループを許可しない」ルールを作り
こんにちは。技術部の池田です。 この記事では、Github Actions上に「強い」AWSの権限を渡すために以下のことを行います。 App Runnerでお手軽にGoogle ID Token 取得するためのWeb Applicationを動かす。 Web Applicationから取得できるGoogle ID Tokenを信頼するIAM RoleにAssumeRoleする。 AssumeRoleによって得られた一時的な強い権限で、強い権限を要求する作業(Deploy, Terraform Apply)をGithub Actionsで行う。 これにより、Github Actions上にAWSのアクセスキーを置かずに、ある程度安全な方法でAWS上での強い権限を要求する操作を実行できます。 そのため、例えばGithub Repositoryに不正アクセスされてしまったとしても、AWSの本番環
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く