CI/CDにおけるOIDC federationとは?
OIDC federationは、CI pipelineが保存された静的な認証情報の代わりに、短命で署名済みのOpenID Connect tokenを使ってクラウドプロバイダに対して自身のidentityを証明できるようにします。クラウドプロバイダはtokenを信頼条件(リポジトリ、branch、environment)に照らして検証し、一時的でスコープの限られた認証情報を発行します。これによりCIから長命なクラウド鍵を完全になくせます。
なぜ重要か
静的なクラウドaccess keyをCIに保存することは侵害の主要な原因です。漏洩し、失効せず、権限が過剰だからです。OIDC federationはそれらを、run毎に発行され、それを必要とするjobだけにスコープされたエフェメラルな認証情報に置き換え、攻撃面を劇的に縮小します。
関連する概念
- workload identity federationとも呼ばれる
- 信頼条件はどのworkflowがroleを引き受けられるかを制限する
- CIからクラウドへのアクセスにleast privilegeを実装する
関連ガイド
What Is Workload Identity?Workload identity gives a non-human workload, like a CI job or service, a verifiable identity used to obtain…
What Is the Principle of Least Privilege?Least privilege means granting every user, job, or token only the minimum permissions needed to do its task a…
What Is Secret Scanning?Secret scanning automatically searches code, history, and CI logs for exposed credentials like API keys, toke…