コーポレートサイト採用サイト

Github ActionsでIAMロールを利用してAWSリソースを操作する

はじめに

弊社ではAWSリソースをTerraformやCloudFormationで管理し、plan/applyの実行にはGithub Actionsを使っています。本稿ではGithub ActionsからAWSリソースを操作するためのIAMロールの設定について説明します。

IAMロールを利用するメリット

Github ActionsからAWSリソースを操作するために利用する認証方法には以下のふたつが挙げられます。

  • アクセスキーおよびシークレットキー

  • IAMロール

アクセスキーによる方法にはセキュリティリスクが伴います。アクセスキーとシークレットキーがありさえすればどこからでも使え、漏洩すると不正利用される可能性があるためです。さらに、TerraformやCloudFormationによる処理に割り当てられるIAMポリシーは広大になりがちなので、漏洩した時の被害が甚大になる可能性があります。

一方、IAMロールを利用する方法では、一時的な認証情報(STSトークン)を発行することで、安全かつ柔軟にAWSリソースへアクセスできます。特に、GitHub ActionsのようなCI/CD環境では、OIDC(OpenID Connect)を活用することで、アクセスキーを不要にし、より安全な認証フローを実現できます。

設定手順

IAMロール(OIDC)の設定手順

OIDCプロバイダーをAWSに設定

IAMのメニューから「IDプロバイダ」を選択し「プロバイダを追加」をクリックします。

プロバイダのタイプで「OpenID Connect」を選択します。

以下を入力します。

  • URLにtoken.actions.githubusercontent.com

  • 対象者にsts.amazonaws.com

IAMロールの作成とポリシー設定

GitHub Actions用のIAMロールを作成します。

作成したロールに、必要十分なIAMポリシー(S3、CloudFormation、Lambda等)を設定します。

信頼ポリシーの設定(GitHubリポジトリを許可)

作成したロールの信頼関係タブで以下のように信頼ポリシーを設定します。PrincipalのARNやgithubのリポジトリ名は環境に合わせて変更してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::1234567890:oidc-provider/token.actions.githubusercontent.com"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "token.actions.githubusercontent.com:aud": "sts.amazonaws.com",
                    "token.actions.githubusercontent.com:sub": "repo:precena-dev/some-amazing-repository:ref:refs/heads/main"
                }
            }
        }
    ]
}

GitHub ActionsでIAMロールを利用する

GitHub Actionsワークフローの更新

利用したいGithub Actionsのyamlに以下を記載します。

    - name: Assume AWS Role
        uses: aws-actions/configure-aws-credentials@v4
        with:
          role-to-assume: ${{ env.AWS_ROLE_ARN }}
          aws-region: ap-northeast-1

次に、Github ActionsのSecretsに AWS_ROLE_ARN を登録します。

AWS CLI / SDK での認証確認

これは必ずしも必須ではありませんが、Github Actionsが意図通りに動かない場合は、以下のコードをyamlに追記してIAMロールを適切に引き受けられているのかを確認すると良いです。

  - name: Verify identity
        run: aws sts get-caller-identity

以上で設定完了です。アクセスキー方式より煩雑ではありますが、一度行えばセキュリティを保ってGithub Actionsを運用できます。

前へAWS Vaultを使ったスイッチロール設定手順次へECS

最終更新

役に立ちましたか?