6. 이전 정책에서 특정 **트리거**로 **조직**의 **저장소**에서 **브랜치**만 허용된 것을 주목하세요.
7. Github 액션이 **가장할** 수 있는 **역할**의 **ARN**은 Github 액션이 알아야 할 "비밀"이므로, **환경** 내의 **비밀**에 저장하세요.
8. 마지막으로, 워크플로우에서 사용할 AWS 자격 증명을 구성하기 위해 Github 액션을 사용하세요:
```yaml
name: 'test AWS Access'
# The workflow should only trigger on pull requests to the main branch
on:
pull_request:
branches:
- main
# Required to get the ID Token that will be used for OIDC
permissions:
id-token: write
contents: read # needed for private repos to checkout
jobs:
aws:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v3
- name: Configure AWS Credentials
uses: aws-actions/configure-aws-credentials@v1
with:
aws-region: eu-west-1
role-to-assume: ${{ secrets.READ_ROLE }}
role-session-name: OIDCSession
- run: aws sts get-caller-identity
shell: bash
OIDC - EKS 남용
# Crate an EKS cluster (~10min)eksctlcreatecluster--namedemo--fargate
# Create an Identity Provider for an EKS clustereksctlutilsassociate-iam-oidc-provider--clusterTesting--approve
EKS 클러스터에서 OIDC URL을 새 Open ID Identity provider로 설정하기만 하면 OIDC providers를 생성할 수 있습니다. 이는 일반적인 기본 정책입니다:
이 정책은 id20C159CDF6F2349B68846BEC03BE031B를 가진 EKS 클러스터만 역할을 맡을 수 있음을 올바르게 나타내고 있습니다. 그러나 어떤 서비스 계정이 이를 맡을 수 있는지 나타내고 있지 않으므로, 웹 아이덴티티 토큰이 있는 모든 서비스 계정이 역할을 맡을 수 있게 됩니다.
어떤 서비스 계정이 역할을 맡을 수 있어야 하는지 지정하기 위해서는 서비스 계정 이름이 지정된 조건을 명시해야 합니다, 예를 들어:
