GCP - Federation Abuse
OIDC - Зловживання діями Github
GCP
Для надання доступу до дій Github з репозиторію Github до облікового запису служби GCP необхідно виконати наступні кроки:
Створіть обліковий запис служби для доступу з дій Github з потрібними дозволами:
Створити новий пул ідентифікації робочого навантаження:
Створіть новий постачальник пулу ідентифікації робочого навантаження OIDC, який довіряє діям github (за назвою організації/репозиторію в цьому сценарії):
Нарешті, дозвольте основному суб'єкту від постачальника використовувати сервісний принципал:
Зверніть увагу, що в попередньому прикладі ми вказуємо org-name/repo-name
як умови для доступу до облікового запису служби (інші параметри, які роблять це більш обмеженим, такі як гілка, також можуть бути використані).
Однак також можливо дозволити доступ всім користувачам GitHub до облікового запису служби, створивши постачальника, такий як наведений нижче, використовуючи символ підстановки:
У цьому випадку будь-хто може отримати доступ до облікового запису служби з допомогою дій GitHub, тому важливо завжди перевіряти, як визначено учасника. Це завжди повинно бути щось на зразок цього:
attribute.{custom_attribute}
:principalSet://iam.googleapis.com/projects/{project}/locations/{location}/workloadIdentityPools/{pool}/attribute.{custom_attribute}/{value}
Github
Не забудьте змінити ${providerId}
та ${saId}
на їхні відповідні значення:
Last updated