Configuration d’OpenID Connect dans Google Cloud Platform

Vue d’ensemble

OpenID Connect (OIDC) permet à vos workflows GitHub Actions d’accéder aux ressources dans Google Cloud Platform (GCP), sans avoir à stocker d’informations d’identification GPC en tant que secrets GitHub à long terme.

Ce guide offre une vue d’ensemble sur la façon de configurer GCP pour approuver le protocole OIDC de GitHub en tant qu’identité fédérée et il inclut un exemple de workflow pour l’action google-github-actions/auth qui utilise des jetons pour s’authentifier auprès de GCP et accéder aux ressources.

Prérequis

• Pour en savoir plus sur les concepts de base décrivant la façon dont GitHub utilise OIDC (OpenID Connect) ainsi que sur son architecture et ses avantages, consultez OpenID Connect.

• Avant de continuer, vous devez planifier votre stratégie de sécurité pour veiller à ce que les jetons d’accès soient uniquement alloués de manière prévisible. Pour contrôler la façon dont votre fournisseur de cloud émet des jetons d’accès, vous devez définir au moins une condition, afin que les dépôts non approuvés ne puissent pas demander de jetons d’accès à vos ressources cloud. Pour plus d’informations, consultez « OpenID Connect ».

• Assurez-vous que les points de terminaison OIDC suivants sont accessibles par votre fournisseur de cloud :

  • http://HOSTNAME/_services/token/.well-known/openid-configuration
  • http://HOSTNAME/_services/token/.well-known/jwks

  Remarque

  Google Cloud Platform ne dispose pas de plages d’adresses IP fixes définies pour ces points de terminaison.

• Assurez-vous que la valeur de la réclamation de l'émetteur incluse avec JSON Web Token (JWT) est définie sur une URL accessible au public. Pour plus d’informations, consultez « OpenID Connect ».

Ajout d’un fournisseur d’identité de charge de travail Google Cloud

Pour configurer le fournisseur d’identité OIDC dans GCP, vous devez effectuer la configuration suivante. Pour obtenir des instructions afin d’apporter ces modifications, reportez-vous à la documentation GCP.

1. Créez un nouveau pool d’identités.
2. Configurez le mappage et ajoutez des conditions.
3. Connectez le nouveau pool à un compte de service.

Conseils supplémentaires pour la configuration du fournisseur d’identité :

• Pour renforcer la sécurité, veillez à passer en revue « Configuration de l’approbation OIDC avec le cloud ». Pour obtenir un exemple, consultez « Configuration de l’objet dans votre fournisseur de cloud ».
• Pour que le compte de service soit disponible pour la configuration, il doit être affecté au rôle roles/iam.workloadIdentityUser. Pour plus d’informations, consultez la documentation de GCC.
• URL de l’émetteur à utiliser : http://HOSTNAME/_services/token

Mise à jour de votre workflow GitHub Actions

Pour mettre à jour vos workflows pour OIDC, vous devez apporter deux modifications à votre code YAML :

1. Ajoutez des paramètres d’autorisations pour le jeton.
2. Utilisez l’action google-github-actions/auth pour échanger le jeton OIDC (JWT) afin d’obtenir un jeton d’accès cloud.

Ajout de paramètres d’autorisations

L’exécution d’une tâche ou d’un flux de travail nécessite un paramètre permissions avec id-token: write pour permettre au fournisseur OIDC de GitHub de créer un jeton Web JSON pour chaque exécution.

Pour plus d’informations sur les autorisations requises, les exemples de configuration et les scénarios avancés, consultez Informations de référence sur OpenID Connect.

Demande du jeton d’accès

L’action google-github-actions/auth reçoit un jeton JWT à partir du fournisseur OIDC GitHub, puis demande un jeton d’accès à partir de GCP. Pour plus d’informations, consultez la documentation GCP.

Cet exemple comporte un travail appelé Get_OIDC_ID_token qui utilise des actions pour demander une liste de services à partir de GCP.

• WORKLOAD-IDENTITY-PROVIDER : remplacez cela par le chemin d’accès à votre fournisseur d’identité dans GCP. Par exemple, projects/example-project-id/locations/global/workloadIdentityPools/name-of-pool/providers/name-of-provider
• SERVICE-ACCOUNT : remplacez cela par le nom de votre compte de service dans GCP.

Cette action permet d’échanger un jeton OIDC GitHub pour obtenir un jeton d’accès Google Cloud, à l’aide de la fédération d’identité de charge de travail.

name: List services in GCP
on:
  pull_request:
    branches:
      - main

permissions:
  id-token: write

jobs:
  Get_OIDC_ID_token:
    runs-on: ubuntu-latest
    steps:
    - id: 'auth'
      name: 'Authenticate to GCP'
      uses: 'google-github-actions/auth@f1e2d3c4b5a6f7e8d9c0b1a2c3d4e5f6a7b8c9d0'
      with:
          create_credentials_file: 'true'
          workload_identity_provider: 'WORKLOAD-IDENTITY-PROVIDER'
          service_account: 'SERVICE-ACCOUNT'
    - id: 'gcloud'
      name: 'gcloud'
      run: |-
        gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
        gcloud services list

name: List services in GCP
on:
  pull_request:
    branches:
      - main

permissions:
  id-token: write

jobs:
  Get_OIDC_ID_token:
    runs-on: ubuntu-latest
    steps:
    - id: 'auth'
      name: 'Authenticate to GCP'
      uses: 'google-github-actions/auth@f1e2d3c4b5a6f7e8d9c0b1a2c3d4e5f6a7b8c9d0'
      with:
          create_credentials_file: 'true'
          workload_identity_provider: 'WORKLOAD-IDENTITY-PROVIDER'
          service_account: 'SERVICE-ACCOUNT'
    - id: 'gcloud'
      name: 'gcloud'
      run: |-
        gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
        gcloud services list

Pour aller plus loin

• Utilisation d’OpenID Connect avec des workflows réutilisables
• Référence des exécuteurs auto-hébergés