Configuration d’OpenID Connect dans Google Cloud Platform

Utilisez OpenID Connect dans vos workflows pour vous authentifier auprès de Google Cloud Platform.

Dans cet article

Remarque

Les exécuteurs hébergés sur GitHub ne sont pas pris en charge sur GitHub Enterprise Server.

Vue d’ensemble

OpenID Connect (OIDC) permet à vos workflows GitHub Actions d’accéder aux ressources dans Google Cloud Platform (GCP), sans avoir à stocker d’informations d’identification GPC en tant que secrets GitHub à long terme.

Ce guide fournit une vue d'ensemble de la façon de configurer GCP pour faire confiance à l'OIDC de GitHub en tant qu'identité fédérée, et inclut un exemple de workflow pour l'action google-github-actions/auth qui utilise des tokens pour s'authentifier auprès de GCP et accéder aux ressources.

Prérequis

  • Pour en savoir plus sur les concepts de base décrivant la façon dont GitHub utilise OIDC (OpenID Connect) ainsi que sur son architecture et ses avantages, consultez OpenID Connect.

  • Assurez-vous que les points de terminaison OIDC suivants sont accessibles par votre fournisseur de cloud :

    • https://HOSTNAME/_services/token/.well-known/openid-configuration
    • https://HOSTNAME/_services/token/.well-known/jwks

Remarque

Google Cloud Platform ne dispose pas de plages IP fixes définies pour ces points de terminaison.

  • Assurez-vous que la valeur de la revendication d'émetteur incluse avec le JSON Web Token (JWT) est définie sur une URL publiquement routable. Pour plus d’informations, consultez « OpenID Connect ».

Ajout d’un fournisseur d’identité de charge de travail Google Cloud

Pour configurer le fournisseur d’identité OIDC dans GCP, vous devez effectuer la configuration suivante. Pour obtenir des instructions afin d’apporter ces modifications, reportez-vous à la documentation GCP.

  1. Créez un nouveau pool d’identités.
  2. Configurez le mappage et ajoutez des conditions.
  3. Connectez le nouveau pool à un compte de service.

Conseils supplémentaires pour la configuration du fournisseur d’identité :

Mise à jour de votre workflow GitHub Actions

Pour mettre à jour vos workflows pour OIDC, vous devez apporter deux modifications à votre code YAML :

  1. Ajoutez des paramètres d’autorisations pour le jeton.
  2. Utilisez l’action google-github-actions/auth pour échanger le jeton OIDC (JWT) afin d’obtenir un jeton d’accès cloud.

Remarque

Lorsque des environnements sont utilisés dans des workflows ou dans des stratégies OIDC, nous vous recommandons d’ajouter des règles de protection à l’environnement pour plus de sécurité. Par exemple, vous pouvez configurer des règles de déploiement sur un environnement pour restreindre les branches et balises pouvant être déployées dans l’environnement ou accéder aux secrets d’environnement. Pour plus d’informations, consultez « Gestion des environnements pour le déploiement ».

Ajout de paramètres d’autorisations

L’exécution d’une tâche ou d’un flux de travail nécessite un paramètre permissions avec id-token: write pour permettre au fournisseur OIDC de GitHub de créer un jeton Web JSON pour chaque exécution.

Remarque

Le paramètre id-token: write dans les autorisations du flux de travail ne donne pas au flux de travail l’autorisation de modifier ou d’écrire dans des ressources. Au lieu de cela, il permet uniquement au flux de travail de demander (récupérer) et d’utiliser (définir) un jeton OIDC pour une action ou une étape. Ce jeton est ensuite utilisé pour s’authentifier auprès de services externes à l’aide d’un jeton d’accès à courte durée de vie.

Pour plus d’informations sur les autorisations requises, les exemples de configuration et les scénarios avancés, consultez Informations de référence sur OpenID Connect.

Demande du jeton d’accès

L’action google-github-actions/auth reçoit un jeton JWT à partir du fournisseur OIDC GitHub, puis demande un jeton d’accès à partir de GCP. Pour plus d’informations, consultez la documentation GCP.

Cet exemple comporte un travail appelé Get_OIDC_ID_token qui utilise des actions pour demander une liste de services à partir de GCP.

  •         `WORKLOAD-IDENTITY-PROVIDER` : remplacez cela par le chemin d’accès à votre fournisseur d’identité dans GCP. Par exemple : `projects/example-project-id/locations/global/workloadIdentityPools/name-of-pool/providers/name-of-provider`

  •         `SERVICE-ACCOUNT` : remplacez cela par le nom de votre compte de service dans GCP.

Cette action permet d’échanger un jeton OIDC GitHub pour obtenir un jeton d’accès Google Cloud, à l’aide de la fédération d’identité de charge de travail.

YAML
# Ce workflow utilise des actions qui ne sont pas certifiées par GitHub.
# Elles sont fournies par un tiers et régies par
# des conditions d’utilisation du service, une politique de confidentialité et un support distincts.
# documentation en ligne.
name: List services in GCP
on:
  pull_request:
    branches:
      - main

permissions:
  id-token: write

jobs:
  Get_OIDC_ID_token:
    runs-on: ubuntu-latest
    steps:
    - id: 'auth'
      name: 'Authenticate to GCP'
      uses: 'google-github-actions/auth@f1e2d3c4b5a6f7e8d9c0b1a2c3d4e5f6a7b8c9d0'
      with:
          create_credentials_file: 'true'
          workload_identity_provider: 'WORKLOAD-IDENTITY-PROVIDER'
          service_account: 'SERVICE-ACCOUNT'
    - id: 'gcloud'
      name: 'gcloud'
      run: |-
        gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
        gcloud services list

Pour aller plus loin