GCP - Federation Abuse
OIDC - Github क्रियाएँ दुरुपयोग
GCP
Github Actions से एक Github रिपो को GCP सेवा खाते को पहुंचने के लिए निम्नलिखित चरण आवश्यक हैं:
चाहिए अनुमतियों के साथ सेवा खाते बनाएं जिससे github actions से पहुंच मिले:
एक नया वर्कलोड आइडेंटिटी पूल उत्पन्न करें:
एक नया वर्कलोड आइडेंटिटी पूल OIDC प्रदाता जेनरेट करें जो github क्रियाएँ (इस स्थिति में संगठन/रिपो नाम द्वारा) पर विश्वास करता है:
अंत में, प्रदाता से मुख्य को सेवा मुख्य का उपयोग करने दें:
ध्यान दें कि पिछले सदस्य में हम org-name/repo-name
को शर्तें बता रहे हैं ताकि सेवा खाता तक पहुंच सकें (जो इसे और प्रतिबंधक बनाने वाले अन्य पैरामीटर भी उपयोग किए जा सकते हैं जैसे शाखा).
हालांकि, सेवा खाता तक पहुंचने की अनुमति देना भी संभव है सभी github को पहुंचने की सेवा खाता बनाकर निम्नलिखित जैसा प्रदाता बनाना:
इस मामले में कोई भी github actions से सेवा खाता तक पहुंच सकता है, इसलिए हमेशा सदस्य कैसे परिभाषित है की जाँच करना महत्वपूर्ण है। हमेशा यही होना चाहिए:
attribute.{custom_attribute}
:principalSet://iam.googleapis.com/projects/{project}/locations/{location}/workloadIdentityPools/{pool}/attribute.{custom_attribute}/{value}
Github
याद रखें कि ${providerId}
और ${saId}
के लिए उनके संबंधित मानों को बदल दें:
Last updated