Um Continuous-Delivery-Workflows besser abzusichern, unterstützt GitHub Actions seit neuestem OpenID Connect, kurz OICD. Somit lässt sich die Cloud-Bereitstellung so konfigurieren, dass ablaufende Zugriffstoken direkt vom Cloud-Anbieter angefordert werden.
Viele Cloud-Anbieter unterstützen bereits OIDC, darunter AWS, Azure, GCP und HashiCorp Vault. Ohne OpenID Connect wäre es notwendig, einen Berechtigungsnachweis oder ein Token als verschlüsseltes Secret in GitHub zu speichern und bei jeder Ausführung an den Cloud-Anbieter zu übermitteln.
GitHub-User müssen somit keine Cloud-Anmeldeinformationen mehr bei GitHub hinterlegen. Stattdessen können sie die OIDC-Vertrauenswürdigkeit des Cloud Providers konfigurieren und dann die entsprechenden Workflows aktualisieren. Auf Basis der Authentifizierungs- und Autorisierungstools des jeweiligen Cloud-Anbieters lässt sich genau steuern, welche Workflows auf Cloud-Ressourcen zugreifen können.
Auf diesem Weg sind die bei GitHub hinterlegten Konfigurationsdateien klar von den Berechtigungen getrennt. Ein weiterer Vorteil dieser Methode: Das Token ist kurzlebig und nur für einen einzigen Workflow-Job gültig, anschließend läuft es automatisch ab.
GitHub hat den Ablauf noch einmal genau beschrieben:
Der OpenID-Connect-Ablauf bei GitHub.
(Bild: GitHub)
1. Developer richten das OIDC-Vertrauensverhältnis für ihre Cloud-Rollen ein, um den Zugriff zwischen ihren Bereitstellungsworkflows und Cloud-Ressourcen zu verwalten.
2. Bei jeder Bereitstellung kann ein GitHub-Actions-Workflow nun ein OIDC-Token generieren. Dieses Token enthält alle Metadaten, die dem Workflow eine sichere, überprüfbare Identität bescheinigen.
3. Im Zuge der Anmeldeaktivität wird das Token abgerufen.
4. Der Cloud-Anbieter prüft dann die Angaben im OIDC-Token anhand der Cloud-Rollendefinition und stellt seinerseits ein Zugriffstoken zur Verfügung. Actions und Schritte innerhalb desselben Workflow-Jobs können dieses Zugriffstoken verwenden, um sich mit den Cloud-Ressourcen zu verbinden und diese bereitzustellen. Das Token läuft ab, wenn der Workflow-Auftrag abgeschlossen ist.
Um die Verwendung von OIDC für die Bereitstellung zu vereinfachen, haben wir mit beliebten Cloud-Partnern wie AWS, Azure, GCP und HashiCorp zusammengearbeitet, um die OIDC-Unterstützung zu ihren offiziellen Anmeldeaktionen hinzuzufügen. Erfahren Sie mehr darüber, wie Sie Ihre Cloud-Bereitstellungen durch die Verwendung von OIDC sichern können. Sehen Sie sich auch unseren GitHub Universe-Vortrag über die Unterstützung von Open ID Connect (OIDC) in GitHub an.
Aufklappen für Details zu Ihrer Einwilligung
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.