GCP - Federation Abuse
OIDC - Abus des Actions Github
GCP
Afin de donner accès aux Actions Github d'un dépôt Github à un compte de service GCP, les étapes suivantes sont nécessaires :
Créez le compte de service pour accéder aux actions github avec les permissions souhaitées :
Générer un nouveau pool d'identités de charge de travail :
Générer un nouveau fournisseur OIDC de pool d'identités de charge de travail qui fait confiance aux actions github (par nom d'org/repo dans ce scénario) :
Enfin, autorisez le principal du fournisseur à utiliser un principal de service :
Notez comment dans le membre précédent nous spécifions le org-name/repo-name
comme conditions pour pouvoir accéder au compte de service (d'autres paramètres qui le rendent plus restrictif comme la branche pourraient également être utilisés).
Cependant, il est également possible de autoriser tous les github à accéder au compte de service en créant un fournisseur tel que le suivant en utilisant un joker :
Dans ce cas, n'importe qui pourrait accéder au compte de service à partir des actions github, il est donc important de vérifier toujours comment le membre est défini. Il devrait toujours ressembler à ceci :
attribute.{custom_attribute}
:principalSet://iam.googleapis.com/projects/{project}/locations/{location}/workloadIdentityPools/{pool}/attribute.{custom_attribute}/{value}
Github
N'oubliez pas de remplacer ${providerId}
et ${saId}
par leurs valeurs respectives :
Dernière mise à jour