OIDC Subject - CI/CD用語集の定義
OIDC subjectとは、workflowのOIDCトークン内の「sub」クレームで、どのリポジトリ、branch、environmentがcloud認証情報を要求しているかを識別します。
OIDC subject とは、GitHubがworkflowに発行するOpenID Connectトークン内の sub クレームで、repoとコンテキストをエンコードします。例: repo:org/repo:ref:refs/heads/main や repo:org/repo:environment:prod。cloudのtrust policyはこれにマッチしてアクセスのスコープを絞ります。
信頼のスコープ設定
cloudのIAM trust policyは sub(およびaudience)を固定し、例えば自分のrepoの main branchや prod environmentだけがroleを引き受けられるようにするべきです。repo:org/* のような緩いマッチでは、どのbranchでも認証情報を生成できてしまいます。
関連ガイド
OIDC - CI/CD Glossary DefinitionOIDC: **OIDC** (OpenID Connect) lets a workflow exchange its identity for short-lived cloud credentials, remo…
Ephemeral Credential - CI/CD Glossary DefinitionEphemeral Credential: An ephemeral credential is a token or key issued just-in-time for one CI run and expiri…
Service Account Token - CI/CD Glossary DefinitionService Account Token: A service account token is a credential issued to a service (not a person) so pipeline…