AWS

[AWS IAM] Hands-on: Github Actions에 임시 자격 증명 사용하기

Sean 션 2024. 7. 17. 20:09

[References]

https://aws.amazon.com/ko/blogs/security/use-iam-roles-to-connect-github-actions-to-actions-in-aws/

https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc_verify-thumbprint.html

 

If you configure an OpenID Connect (OIDC) identity provider (IdP) inside an AWS account, you can use IAM roles and short-term credentials, which removes the need for IAM user access keys.

 

안녕하세요, Sean 입니다. IAM User 의 long term credential 을 이용하여 서드파티에 권한을 부여하는 방식은 권장되지 않습니다. 자격 증명이 외부로 유출되면 그 위험이 크기 때문입니다. 따라서 이 글에선 STS를 기반한 임시 자격 증명을 사용하여 IAM role 을 assume 하는 방법에 대해 알아봅니다.

 

 

그림과 같은 환경을 구축합니다. 저는 실습을 위한 환경을 Terraform 을 이용하여 구성하였으므로, Terraform 에서 리소스를 생성하겠습니다. 실습을 진행하는 과정은 다음과 같습니다:

  1. AWS에 OIDC IdP 등록
  2. IAM role 생성
  3. Github Actions 워크플로우 파일 구성
  4. CloudTrail audit log 확인

AWS에 OIDC IdP 등록

가장 먼저 Identity Provider(IdP) 를 생성합니다. aws_iam_openid_connect_provider 리소스는 IAM OpenID Connect provider 를 제공합니다.

resource "aws_iam_openid_connect_provider" "github_actions_idp" {
  url = "https://token.actions.githubusercontent.com"

  client_id_list = ["sts.amazonaws.com"]

  thumbprint_list = [var.github_thumbprint]

}

variable "github_thumbprint" {
  description = "Github OIDC thumbprint"
  type        = string
}
  • url: Provider URL 입니다. iss claim 과 대응하는 값입니다.
  • client_id_list: audiences 로도 불리는 값으로, 저희는 IdP를 통해 AWS STS 가 호출되도록 허용할 것이므로 “sts.amazonaws.com” 를 입력합니다.
  • thumbprint_list: CA 로부터 발급받는 서명입니다. 이 필드를 채워넣기 위해선 아래의 certificate thumbprint 가져오기 과정이 필요합니다.

(선택) certificate thumbprint 가져오기

2024년 12월 12일 업데이트: 더이상 thumbprint값을 필수적으로 요구하지 않습니다. 해당 필드를 삭제하셔도 될 것 같습니다.

 

현재로써는 thumbprint 입력이 필수입니다. 따라서 이를 외부에서 가져오는 과정이 필요합니다. 이 단계는 개인적으로 없어져야 하는 단계라고 생각합니다. 해당 단계에 대한 제 의견을 포스팅 해두었습니다. 공식 가이드를 따라가고자 하신다면 다음을 참고하세요.

 

해당 작업이 번거롭다면

번거로운 작업을 넘어가고자 하신다면, github_thumbprint variable 에 다음과 같이 입력하세요:

variable "github_thumbprint" {
  description = "Github OIDC thumbprint"
  type        = string

  default = "1b511abead59c6ce207077c0bf0e0043b1382612"
}

 

 

직접 thumbprint 가져오고 등록하기

 

우선 OpenSSL 을 설치해야 합니다. MacOS 를 사용하시는 분이라면 OpenSSL 이 내장되어 있습니다. terminal 에서 다음을 입력하여 설치가 되어있는 것을 확인합니다:

openssl --version

 

Windows, 혹은 다른 환경의 유저라면 다음을 참고하세요.

터미널에서 다음 명령어를 입력해 출력을 확인합니다:

openssl s_client -servername token.actions.githubusercontent.com -showcerts -connect token.actions.githubusercontent.com:443

 

출력 중 다음과 같은 Certificate 필드를 찾습니다. 여러개라면 마지막 것을 확인합니다.

-----BEGIN CERTIFICATE-----
MIIEyDCCA7CgAwIBAgIQDPW9BitWAvR6uFAsI8zwZjANBgkqhkiG9w0BAQsFADBh
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
...
chDYABPPTHPbqjc1qCmBaZx2vN4Ye5DUys/vZwP9BFohFrH/6j/f3IL16/RZkiMN
JCqVJUzKoZHm1Lesh3Sz8W2jmdv51b2EQJ8HmA==
-----END CERTIFICATE-----

 

certificate.crt 파일을 만든 후 Cerfiticate 내용을 붙여넣습니다.

mkdir test
cd test
vi certificate.crt
(paste content)

 

이후 다음 명령어를 입력합니다:

openssl x509 -in certificate.crt -fingerprint -sha1 -noout | sed 's/sha1 Fingerprint=//; s/://g'

다음과 같은 결과물을 얻을 수 있습니다:

1A611ABEAD59C6CE207027S0BF8E0043BA3N2168

 

먼 길 오셨습니다. 이제 이 값을 테라폼의 thumbprint_list에 입력합니다.


IAM role 생성 및 권한 할당

이제 IAM role 을 생성하겠습니다.

resource "aws_iam_role" "github_actions_role" {
  name        = "GitHubActions-AssumeRoleWithAction"
  description = "IAM role to be assumed by GitHub Actions"

  assume_role_policy = jsonencode({
    Version = "2012-10-17",
    Statement = [
      {
        Effect = "Allow",
        Principal = {
          Federated = aws_iam_openid_connect_provider.github_actions_idp.arn
        },
        Action = "sts:AssumeRoleWithWebIdentity",
        Condition = {
          StringEquals = {
            "token.actions.githubusercontent.com:sub" = "repo:${var.github_repository_name}:ref:refs/heads/${var.github_branch_name}",
            "token.actions.githubusercontent.com:aud" = "sts.amazonaws.com"
          }
        }
      }
    ]
  })
}

variable "github_repository_name" {
  description = "Github repository name for Github Actions"
  type        = string

  default     = "Repick-official/repick-server-v2" # 여러분의 깃허브 정보에 맞게 변경하세요
}

variable "github_branch_name" {
  description = "Github branch name for Github Actions"
  type        = string

  default     = "fix/github-actions" # 여러분의 깃허브 정보에 맞게 변경하세요
}

output "github_actions_role_arn" {
  description = "The ARN of the IAM role for Github Actions"
  value       = aws_iam_role.github_actions_role.arn # 나중에 쓰이니 적용 후 복사해두세요
}
  • Federated: 위에서 정의한 github_actions_idp 리소스의 ARN 을 입력합니다.
  • Condition: 조건에서 저희가 사용하길 원하는 깃허브 레포지토리와 브랜치 이름을 정의합니다.
  • output 블록에서 생성한 IAM role 의 ARN 을 확인합니다.

이제 모든 테라폼 리소스 정의를 마쳤다면 적용합니다!

terraform apply

Github Actions 워크플로우 파일 구성

워크플로우 파일을 구성해봅시다. 간단한 예제와 함께합니다:

on:
  push:
    branches: [ main ]

env:
  
  AWS_REGION : "ap-northeast-2" # Change to reflect your Region

# Permission can be added at job level or workflow level    
permissions:
      id-token: write   # This is required for requesting the JWT
      contents: read    # This is required for actions/checkout
jobs:
  AssumeRoleAndCallIdentity:
    runs-on: ubuntu-latest
    steps:
      - name: Git clone the repository
        uses: actions/checkout@v3
      - name: configure aws credentials
        uses: aws-actions/configure-aws-credentials@v1.7.0
        with:
          role-to-assume: arn:aws:iam::111122223333:role/GitHubAction-AssumeRoleWithAction # github_actions_role_arn 값을 가져옵니다.
          role-session-name: GitHub_to_AWS_via_FederatedOIDC
          aws-region: ${{ env.AWS_REGION }}
      # Hello from AWS: WhoAmI
      - name: Sts GetCallerIdentity
        run: |
          aws sts get-caller-identity

 

워크플로우에 대한 설명은 다음과 같습니다:

  • OIDC IdP 를 통하여 IAM role 을 assume 합니다.
  • aws sts get-caller-identity 를 호출하여 UserId, Account, Arn 을 가져옵니다. WhoAmI 라고 생각하시면 됩니다.

push 후 정상적인 작동을 확인합니다:


CloudTrail audit log 확인

거의 다 왔군요. 이제 CloutTrail 을 통한 audit 이 가능합니다. AWS 매니지먼트 콘솔에서 다음의 작업을 수행합니다:

  1. CloudTrail 서비스로 이동합니다.
  2. 좌측의 Event History 를 선택합니다.
  3. 검색창의 Lookup attributesEvent source 로 선택합니다.
  4. sts.amazonaws.com 를 입력합니다.

 

GetCallerIdentityAssumeRoleWithWebIdentity 이벤트를 확인할 수 있습니다.

  • GetCallerIdentity 이벤트는 워크플로우의 Hello from AWS: WhoAmI 스텝에서 생긴 이벤트입니다.
  • AssumeRoleWithWebIdentity 는 Github Actions 가 GitHubAction-AssumeRoleWithAction IAM role 을 assume 할 때 생기는 이벤트입니다.

assume 하는 role 의 권한을 조정하며 최소 권한 원칙에 따라 action 을 실행할 권한을 부여하세요. 임시 자격 증명을 기반하여 기존의 방식보다 더 안전한 권한 관리를 달성하신 것을 축하합니다. ㅎㅎ