Skip to content
Latchkey

CI/CDにおけるOIDC federationとは?

OIDC federationは、CI pipelineが保存された静的な認証情報の代わりに、短命で署名済みのOpenID Connect tokenを使ってクラウドプロバイダに対して自身のidentityを証明できるようにします。クラウドプロバイダはtokenを信頼条件(リポジトリ、branch、environment)に照らして検証し、一時的でスコープの限られた認証情報を発行します。これによりCIから長命なクラウド鍵を完全になくせます。

なぜ重要か

静的なクラウドaccess keyをCIに保存することは侵害の主要な原因です。漏洩し、失効せず、権限が過剰だからです。OIDC federationはそれらを、run毎に発行され、それを必要とするjobだけにスコープされたエフェメラルな認証情報に置き換え、攻撃面を劇的に縮小します。

関連する概念

  • workload identity federationとも呼ばれる
  • 信頼条件はどのworkflowがroleを引き受けられるかを制限する
  • CIからクラウドへのアクセスにleast privilegeを実装する

関連ガイド