[小ネタ] Github Actions用のOIDC ProviderをAWSコンソールから作ったときのトラップ #AWS

これは「「はじめに」の Advent Calendar 2021」24日目の記事です。

Github ActionsからAWSのリソースを操作する

GitHub ActionsでOpenID Connect経由の各種Cloud Providerの認証取得がGAになったし、年末だしAccessTokenを大掃除したかっただけでした。
検証中に1時間もハマったのでメモ。

OIDC Provier作成

GUIからProviderを作成。

プロバイダのタイプ	プロバイダのURL	対象者
OpenID Connect	https://token.actions.githubusercontent.com	sts.amazonaws.com

プロバイダの「ロールの割当」→「新しいロールを作成」

「ウェブID」 → Audienceに「 sts.amazonaws.com 」を選択

ポリシーならなんやらをつけて作成後はこうなります。

1つ目のトラップ

GithubActionsに適当なWorkflowを作成して動かしてみます。

name: "sample"

on: [ workflow_dispatch ]

env:
  AWS_ROLE_ARN: ${{ secrets.AWS_ROLE_ARN }}

jobs:
  test:
    runs-on: ubuntu-latest
    permissions:
      id-token: write
      contents: write
    steps:
      - uses: actions/checkout@v2
      - uses: aws-actions/configure-aws-credentials@master
        with:
          role-to-assume: ${{ env.AWS_ROLE_ARN }}
          role-session-name: sample
          aws-region: ap-northeast-1
      - run: aws s3 ls

エラーになります。

Run aws-actions/configure-aws-credentials@master
Error: Not authorized to perform sts:AssumeRoleWithWebIdentity

信頼関係のポリシーはこうなっていますが、コレでは動きません。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::${aws_account_id}:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "sts.amazonaws.com"
        }
      }
    }
  ]
}

この記事を参考に、

          "token.actions.githubusercontent.com:aud": "sts.amazonaws.com"

を↓に変更します

          "token.actions.githubusercontent.com:sub": "repo:${github_org}/${github_repo}:*"

再実行してもエラー。しかも内容変わらず。

Run aws-actions/configure-aws-credentials@master
Error: Not authorized to perform sts:AssumeRoleWithWebIdentity

2つ目のトラップ

理由がわからず、Cloud Trailまで見に来ました。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "WebIdentityUser",
        "principalId": "arn:aws:iam::${aws_account_id}:oidc-provider/token.actions.githubusercontent.com:sts.amazonaws.com:repo:${github_org}/${github_repo}:ref:refs/heads/test/oidc-test",
        "userName": "repo:${github_org}/${github_repo}:ref:refs/heads/test/oidc-test",
        "identityProvider": "arn:aws:iam::${aws_account_id}:oidc-provider/token.actions.githubusercontent.com"
    },
    "eventTime": "2021-12-24T07:55:02Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoleWithWebIdentity",
    "awsRegion": "ap-northeast-1",
    "sourceIPAddress": "xxx.xxx.xxx.xxx",
    "userAgent": "aws-sdk-nodejs/2.1047.0 linux/v12.13.1 configure-aws-credentials-for-github-actions promise",
    "errorCode": "AccessDenied",
    "errorMessage": "An unknown error occurred",
    "requestParameters": {
        "durationSeconds": 3600,
        "roleArn": "arn:aws:iam::${aws_account_id}:role/GithubS3ReadOnlyAccess",
        "roleSessionName": "sample"
    },
 ・・・(略)

堂々の "An unknown error occurred"

GithubActionsの設定やSecretsの方を散々確認しましたが、実は答えはすぐ近くにありました。

間違い

        "StringEquals": {
          "token.actions.githubusercontent.com:sub": "repo:${github_org}/${github_repo}:*"
        }

↓
正解

        "StringLike": {
          "token.actions.githubusercontent.com:sub": "repo:${github_org}/${github_repo}:*"
        }

* 入っていますからね、 StringEquals じゃなくて StringLike ですよね。

昨日に引き続き文字列違いのネタ。
クリスマスイブだけど(クリスマスイブなので？）軽めにしてます。

(こんなんで1時間ハマるとか・・・)