GCP - Federation Abuse
OIDC - Abuso de Ações do Github
GCP
Para dar acesso às Ações do Github de um repositório do Github a uma conta de serviço do GCP, os seguintes passos são necessários:
Crie a Conta de Serviço para acessar a partir das ações do github com as permissões desejadas:
Gerar um novo pool de identidade de carga de trabalho:
Gerar um novo provedor de identidade de pool de identidade de carga de trabalho OIDC que confia nas ações do github (pelo nome da organização/repositório neste cenário):
Por fim, permita que o principal do provedor utilize um principal de serviço:
Observe como no membro anterior estamos especificando o org-name/repo-name
como condições para poder acessar a conta de serviço (outros parâmetros que tornam mais restritivo como o branch também poderiam ser usados).
No entanto, também é possível permitir que todo o github acesse a conta de serviço criando um provedor da seguinte forma usando um caractere curinga:
Neste caso, qualquer pessoa poderia acessar a conta de serviço a partir das ações do github, então é importante sempre verificar como o membro é definido. Deve ser sempre algo como este:
attribute.{custom_attribute}
:principalSet://iam.googleapis.com/projects/{project}/locations/{location}/workloadIdentityPools/{pool}/attribute.{custom_attribute}/{value}
Github
Lembre-se de alterar ${providerId}
e ${saId}
pelos seus respectivos valores:
Última actualización