GCP - Federation Abuse
OIDC - Matumizi Mabaya ya Vitendo vya Github
GCP
Ili kumpa ufikiaji kwa Vitendo vya Github kutoka kwa repo ya Github kwa akaunti ya huduma ya GCP hatua zifuatazo zinahitajika:
Unda Akaunti ya Huduma ili kupata ufikiaji kutoka kwa vitendo vya github na ruhusa zilizotakikana:
Jenga bwawa jipya la kitambulisho cha kazi:
Jenga mtoaji mpya wa kitambulisho cha mzigo wa kazi wa workload identity pool OIDC ambao unamuamini github actions (kwa jina la org/repo katika hali hii):
Mwishowe, ruhusu mkuu kutoka kwa mtoa huduma kutumie mkuu wa huduma:
Tafadhali kumbuka jinsi tunavyotaja org-name/repo-name
katika hali ya awali ili kuweza kupata upatikanaji wa akaunti ya huduma (parameta zingine zinazofanya iwe zaidi ya kizuizi kama tawi pia zinaweza kutumika).
Hata hivyo, pia ni inawezekana kuruhusu github yote kupata akaunti ya huduma kwa kuunda mtoa huduma kama ifuatavyo kwa kutumia alama ya pekee:
Katika kesi hii yeyote anaweza kupata akaunti ya huduma kutoka kwa vitendo vya github, kwa hivyo ni muhimu siku zote kuchunguza jinsi mwanachama anavyofafanuliwa. Daima inapaswa kuwa kitu kama hiki:
attribute.{custom_attribute}
:principalSet://iam.googleapis.com/projects/{project}/locations/{location}/workloadIdentityPools/{pool}/attribute.{custom_attribute}/{value}
Github
Kumbuka kubadilisha ${providerId}
na ${saId}
kwa thamani zao husika:
Last updated