背景
CircleCIを使用している・していたプロジェクトで、シークレットのローテーションの対応が呼びかけられた。
CI/CDには、Github Actions
を使用していたが、IAMユーザーを払い出してSecretKey
・SecretKeyID
をGithubに保存して使用していればいつかは同じインシデントに遭遇するかもしれない。。。
対策
CircleCIのブログの「セキュリティのベストプラクティス」でも挙げられている内のひとつにOIDCトークンを使用する方法がある。
やること
-
CicleCIでのOIDCを使用する方法は下記
https://circleci.com/docs/ja/openid-connect-tokens/ -
Github ActionsであればRoleARNを用いる方法があり、下記を参考
https://dev.classmethod.jp/articles/github-actions-aws-sts-credentials-iamrole/