Last updated
Learn & practice AWS Hacking: Learn & practice GCP Hacking:
Afin de donner accès aux Actions Github d'un repo Github à un compte de service GCP, les étapes suivantes sont nécessaires :
Créer le Compte de Service pour accéder depuis les actions github avec les permissions souhaitées :
Générer un nouveau pool d'identité de charge de travail :
Générer un nouveau fournisseur OIDC de pool d'identité de charge de travail qui fait confiance aux actions github (par nom d'org/repo dans ce scénario) :
Enfin, permettez au principal du fournisseur d'utiliser un principal de service :
Notez comment dans le membre précédent, nous spécifions le org-name/repo-name comme conditions pour pouvoir accéder au compte de service (d'autres paramètres qui le rendent plus restrictif comme la branche pourraient également être utilisés).
Cependant, il est également possible de permettre à tous les github d'accéder au compte de service en créant un fournisseur tel que le suivant en utilisant un caractère générique :
Dans ce cas, n'importe qui pourrait accéder au compte de service depuis les actions github, il est donc important de vérifier comment le membre est défini. Cela devrait toujours être quelque chose comme ceci :
attribute.{custom_attribute}:principalSet://iam.googleapis.com/projects/{project}/locations/{location}/workloadIdentityPools/{pool}/attribute.{custom_attribute}/{value}
N'oubliez pas de changer ${providerId} et ${saId} pour leurs valeurs respectives :
Apprenez et pratiquez le hacking AWS : Apprenez et pratiquez le hacking GCP :
Consultez les !
Rejoignez le 💬 ou le ou suivez nous sur Twitter 🐦 .
Partagez des astuces de hacking en soumettant des PRs aux et dépôts github.
