OIDCトークンを使用する

背景

CircleCIを使用している・していたプロジェクトで、シークレットのローテーションの対応が呼びかけられた。

---

CI/CDには、Github Actionsを使用していたが、IAMユーザーを払い出してSecretKey・SecretKeyIDをGithubに保存して使用していればいつかは同じインシデントに遭遇するかもしれない。。。

---

対策

CircleCIのブログの「セキュリティのベストプラクティス」でも挙げられている内のひとつにOIDCトークンを使用する方法がある。

---

以下抜粋

---

やること

1. CicleCIでのOIDCを使用する方法は下記
   https://circleci.com/docs/ja/openid-connect-tokens/

2. Github ActionsであればRoleARNを用いる方法があり、下記を参考
   https://dev.classmethod.jp/articles/github-actions-aws-sts-credentials-iamrole/

---

参考

• CircleCIブログ
• CircleCI OIDCトークン
• GitHub ActionsにAWSクレデンシャルを直接設定したくないのでIAMロールを利用したい