GCP - Federation Abuse
OIDC - Abus des Actions Github
GCP
Afin de donner accès aux Actions Github d'un repo Github à un compte de service GCP, les étapes suivantes sont nécessaires :
Créer le compte de service pour accéder depuis les actions github avec les permissions souhaitées :
Générer un nouveau pool d'identité de charge de travail :
Générer un nouveau fournisseur OIDC de pool d'identité de charge de travail qui fait confiance aux actions github (par nom d'org/repo dans ce scénario) :
Enfin, permettre au principal du fournisseur d'utiliser un principal de service :
Notez comment dans le membre précédent, nous spécifions le org-name/repo-name
comme conditions pour pouvoir accéder au compte de service (d'autres paramètres qui le rendent plus restrictif comme la branche pourraient également être utilisés).
Cependant, il est également possible de permettre à tous les github d'accéder au compte de service en créant un fournisseur tel que le suivant en utilisant un caractère générique :
Dans ce cas, n'importe qui pourrait accéder au compte de service depuis les actions github, il est donc important de vérifier comment le membre est défini. Cela devrait toujours être quelque chose comme ceci :
attribute.{custom_attribute}
:principalSet://iam.googleapis.com/projects/{project}/locations/{location}/workloadIdentityPools/{pool}/attribute.{custom_attribute}/{value}
Github
N'oubliez pas de changer ${providerId}
et ${saId}
pour leurs valeurs respectives :
Last updated