注意
GitHub Enterprise Server 目前不支持 GitHub 托管的运行器。
概述
OpenID Connect(OIDC)允许工作流 GitHub Actions 访问 Google Cloud Platform (GCP)中的资源,而无需将 GCP 凭据存储为长期 GitHub 机密。
本指南概述了如何将 GCP 配置为信任 GitHub的 OIDC 作为联合标识,并包括使用令牌向 GCP 进行身份验证和访问资源的操作的工作流示例 google-github-actions/auth 。
Prerequisites
-
若要了解 GitHub 如何使用 OpenID Connect (OIDC) 及其体系结构和优势的基本概念,请参阅“OpenID Connect”。
-
在继续之前,必须规划安全策略,以确保仅以可预测的方式分配访问令牌。 要控制云提供商颁发访问令牌的方式,必须至少定义一个条件,以便不受信任的存储库无法为云资源请求访问令牌。 有关详细信息,请参阅“OpenID Connect”。
-
必须确保你的云提供商可以访问以下 OIDC 端点:
https://HOSTNAME/_services/token/.well-known/openid-configurationhttps://HOSTNAME/_services/token/.well-known/jwks
注意
Google Cloud Platform 没有为这些终结点定义固定的 IP 范围。
-
确保 JSON Web 令牌 (JWT) 随附的颁发者声明的值已设置为可公开路由的 URL。 有关详细信息,请参阅“OpenID Connect”。
添加 Google Cloud 工作负载身份提供商
要在 GCP 中配置 OIDC 身份提供商,您需要执行以下配置。 若要了解如何进行这些更改,请参阅 GCP 文档。
- 创建新的身份池。
- 配置映射并添加条件。
- 将新池连接到服务帐户。
配置身份提供商的附加指导:
- 有关安全强化,请确保已查看使用云配置 OIDC 信任。 有关示例,请参阅在云提供商中配置主题。
- 要使服务帐户可用于配置,需要将其分配给
roles/iam.workloadIdentityUser角色。 有关详细信息,请参阅 GCP 文档。 - 要使用的颁发者 URL:
https://HOSTNAME/_services/token
更新 GitHub Actions 工作流
要更新 OIDC 的工作流程,您需要对 YAML 进行两项更改:
- 为令牌添加权限设置。
- 使用
google-github-actions/auth操作以交换 OIDC 令牌 (JWT) 以获得云访问令牌。
注意
在工作流或 OIDC 策略中使用环境时,建议将保护规则添加到环境中以提高安全性。 例如,可以在环境中配置部署规则,以限制可以部署到环境或访问环境机密的分支和标记。 有关详细信息,请参阅“管理部署环境”。
添加权限设置
作业或工作流运行需要使用 id-token: write 的 permissions 设置,以允许 GitHub 的 OIDC 提供者为每个运行创建 JSON Web 令牌。
注意
在工作流权限中设置 id-token: write 不会授予工作流修改或写入任何资源的权限。 这只会允许工作流为某个操作或步骤请求(提取)并使用(设置)OIDC 令牌。 然后,此令牌用于通过生存期较短的访问令牌向外部服务进行身份验证。
有关所需权限、配置示例和高级方案的详细信息,请参阅 OpenID Connect 参考。
请求访问令牌
该 google-github-actions/auth 操作从 GitHub OIDC 提供程序接收 JWT,然后从 GCP 请求访问令牌。 有关详细信息,请参阅 GCP 文档。
此示例有一个名为 Get_OIDC_ID_token 的作业,该作业使用操作从 GCP 请求服务列表。
WORKLOAD-IDENTITY-PROVIDER:将此值替换为指向 GCP 中标识提供者的路径。 例如:projects/example-project-id/locations/global/workloadIdentityPools/name-of-pool/providers/name-of-providerSERVICE-ACCOUNT:将此值替换为你在 GCP 中的服务帐户的名称。
此操作使用GitHub将 OIDC 令牌交换为 Google Cloud 访问令牌。
# 此工作流使用未经 GitHub 认证的操作。
# 它们由第三方提供,并受
# 单独的服务条款、隐私政策和支持
# 文档。
name: List services in GCP
on:
pull_request:
branches:
- main
permissions:
id-token: write
jobs:
Get_OIDC_ID_token:
runs-on: ubuntu-latest
steps:
- id: 'auth'
name: 'Authenticate to GCP'
uses: 'google-github-actions/auth@f1e2d3c4b5a6f7e8d9c0b1a2c3d4e5f6a7b8c9d0'
with:
create_credentials_file: 'true'
workload_identity_provider: 'WORKLOAD-IDENTITY-PROVIDER'
service_account: 'SERVICE-ACCOUNT'
- id: 'gcloud'
name: 'gcloud'
run: |-
gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
gcloud services list
# 此工作流使用未经 GitHub 认证的操作。
# 它们由第三方提供,并受
# 单独的服务条款、隐私政策和支持
# 文档。
name: List services in GCP
on:
pull_request:
branches:
- main
permissions:
id-token: write
jobs:
Get_OIDC_ID_token:
runs-on: ubuntu-latest
steps:
- id: 'auth'
name: 'Authenticate to GCP'
uses: 'google-github-actions/auth@f1e2d3c4b5a6f7e8d9c0b1a2c3d4e5f6a7b8c9d0'
with:
create_credentials_file: 'true'
workload_identity_provider: 'WORKLOAD-IDENTITY-PROVIDER'
service_account: 'SERVICE-ACCOUNT'
- id: 'gcloud'
name: 'gcloud'
run: |-
gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
gcloud services list