naopoyo.com
🏗️

TerraformでAWSにGitHub Actions用のOIDCプロバイダーを作成する

公開日
9か月前
2023-10-17
更新日
15日前
2024-07-12
更新履歴
preview

概要

AWSでGitHubのOIDC (OpenID Connect) プロバイダーを使用して認証を行うようにすることで、アクセスキーなどの認証情報をGitHubに保存することなく、GitHubからAWSのリソースにアクセスすることができるようになります。

使用するモジュール

Terraform Registry
terraform.io favicon
terraform.io

locals

locals {
  github_oidc_role_name = "github-actions-role"
}

OIDC Provider

module "iam_github_oidc_provider" {
  source  = "terraform-aws-modules/iam/aws//modules/iam-github-oidc-provider"
  version = "5.17.0"
}

Role

subjects には任意のGitHubリポジトリを設定します。

module "iam_github_oidc_role" {
  source  = "terraform-aws-modules/iam/aws//modules/iam-github-oidc-role"
  version = "5.17.0"

  name = local.github_oidc_role_name

  subjects = [
    "example-org/example-repo:*",
  ]

  policies = {
    additional = aws_iam_policy.github_oidc_role_policy.arn
  }
}

RoleのPolicy

以下の例では全て許可するポリシーになっていますので、適宜修正するようにしましょう。

resource "aws_iam_policy" "github_oidc_role_policy" {
  name        = "${local.github_oidc_role_name}-policy"
  description = "GitHub actions policy"

  policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        "Effect" : "Allow",
        "Action" : "*",
        "Resource" : "*"
      }
    ]
  })
}

GitHub Actionsでの認証方法

- name: Configure AWS Credentials
  uses: aws-actions/configure-aws-credentials@v2
  with:
    role-to-assume: ${{ secrets.AWS_ROLE_ARN }}
    role-session-name: aws-role-session
    aws-region: ${{ vars.AWS_REGION }}

最近公開された記事

🚵
開発日記 / npmパッケージ公開用のモノレポにsandbox的な仕組みを取り入れたいと思った
約10時間前 - 2024-07-26
  • 開発日記
🛷
Next.jsのMetadataの設定方法と一緒にmetaタグを学ぶ
2日前 - 2024-07-24
  • Next.js
  • HTML
🛸
Preztoでzshをカスタマイズする
3日前 - 2024-07-24
  • zsh