1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

GitHub Actionsを使って本番環境へのデプロイを制限する方法

Posted at

GitHub Actionsを使って本番環境へのデプロイを制限する方法

GitHub Actionsを使ったデプロイの自動化は便利ですが、本番環境へのデプロイは特定の信頼されたメンバーに制限する必要があります。本記事では、GitHubの特定のチームメンバーだけが本番環境へのデプロイを実行できるようにする方法を紹介します。具体的には、GitHub ActionsとAWS ECSを連携させてデプロイする際に、GitHubチームのメンバーかどうかを確認し、本番環境(prd)に対してはチームメンバーのみがデプロイを許可される仕組みを実装します。


シチュエーション

  • チームの管理されたデプロイプロセス
    デプロイの自動化を行いたいが、本番環境へのアクセスは制限したい。特に大規模なチームでは、誤ったデプロイが本番環境に影響を与えるリスクを避けるために、信頼されたメンバーのみにデプロイ権限を与える必要があります。このワークフローは、GitHubの特定のチームに所属しているかどうかを確認し、デプロイを制御します。
    今回の場合はgithub-actions-executableというチームを作成し、そちらにデプロイ可能なメンバーを追加します。

ワークフローの全体構造

以下のGitHub Actionsワークフローは、ユーザーが本番環境(prd)にデプロイする際に、次のような流れで実行されます。

  1. デプロイ環境の選択
    workflow_dispatchイベントを使用し、デプロイする環境を手動で選択します。
  2. チームメンバーの確認
    GitHub APIを使って、デプロイ実行者が指定のチーム(github-actions-executable)に所属しているかどうかを確認します。
  3. AWS ECSへのデプロイ
    デプロイ実行者がチームメンバーであれば、AWS ECSにアーティファクトをデプロイします。

シチュエーション図

以下は、このワークフローがどのように実行されるかのフローです。

+-----------------------+   手動デプロイ   +---------------------------+
| workflow_dispatch      | ------------> | Team Affiliation Check      |
| (デプロイ環境選択)      |               | (チームメンバーか確認)       |
+-----------------------+               +---------------------------+
          |
          v
+------------------------------------------+
| チームメンバーの場合、AWS ECSにデプロイ       |
| (非メンバーなら実行停止)                    |
+------------------------------------------+

サンプルコード

name: Deploy ECS Prd

on:
  workflow_dispatch:
    inputs:
      deployEnv:
        type: choice
        description: 'デプロイする環境を選択してください'
        options:
        - prd
        required: true
        default: ''

permissions:
  id-token: write
  contents: read

jobs:
  deploy:
    runs-on: ubuntu-latest
    environment: ${{ inputs.deployEnv }}

    steps:
    - name: Checkout
      uses: actions/checkout@v3

    - name: Check user for team affiliation
      uses: tspascoal/get-user-teams-membership@v3
      id: teamAffiliation
      with:
        GITHUB_TOKEN: ${{ secrets.PERSONAL_ACCESS_TOKEN }}
        username: ${{ github.actor }}
        team: 'github-actions-executable'

    - name: Stop workflow if user is no member
      if: ${{ steps.teamAffiliation.outputs.isTeamMember == false }}
      run: |
        echo "You have no rights to trigger this job."
        exit 1
        
    - name: Checkout
      uses: actions/checkout@v3

    - name: Configure AWS credentials
      uses: aws-actions/configure-aws-credentials@v1
      with:
        role-to-assume: ${{ secrets.AWS_ROLE_TO_ASSUME }}
        aws-region: ap-northeast-1

    - name: Create artifact
      run: |
        zip -r /tmp/artifact.zip ./ -x *.git*

    - name: Put artifact and meta file
      run: |
        aws s3 cp /tmp/artifact.zip s3://${{ secrets.SOURCE_ARTIFACT_S3_BUCKET_NAME }}/backend/artifact.zip
1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?