GitHub Actions⇔AWS らくらく連携手順書♪

閲覧ありがとうございます。
本記事では、一回繋いでしまえば超絶便利なGitHub ActionsとAWSの連携方法を共有します。
今回は、GitHub ActionsとAWSを、IAM IDプロバイダ・STSを用いて連携します。

AWS側の設定

【 用意するもの 】

• GitHub ActionsがAWS環境にアクセスするためのIAMロール
• GitHub Actionsからのアクセスに対し一時的な認証情報を渡すためのIDプロバイダ

① IAMロールの作成

1.　任意のIAMポリシーをアタッチしたIAMロールを作成

私はAWS Nuke(*1)をAWS環境に対し実行したかったため、AdministratorAccess権限を持つIAMロールを作成しました。

(*1) AWS Nuke：AWS環境内のリソースを一括削除することができるオープンソースのツール。(後日NukeとGitHub Actionsを用いた不要リソースの自動定期削除について記事を投稿予定です)

2.　IAMロールの信頼ポリシーを設定

信頼ポリシー内で、ワークフローファイル(=GitHub Actionsでスクリプトを実行するファイル)からの認証用URL経由のアクセス時にassume roleするよう許可します。

IAMポリシー(コピペ用)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::[アカウントID]:oidc-provider/token.actions.githubusercontent.com"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringLike": {
                    "token.actions.githubusercontent.com:sub": "repo:[Organizations名 or 個人アカウント名]/[リポジトリ名]:*"
                }
            }
        }
    ]
}

注意点

• 赤くマークした箇所：個人のGitHub内リポジトリを使用する際は個人のGitHubアカウント名を、企業などのOrganizations配下のリポジトリを使用する際はOrganizations名を記入してください
• 青でマークした箇所：使用するリポジトリ名を記入してください

② IAM IDプロバイダーの作成

1.　IAMコンソール画面で「IDプロバイダ」を選択

2.　「IDプロバイダを追加」ボタンをクリック

3.　IDプロバイダの詳細を設定

• プロバイダのタイプ：OpenID Connect
• プロバイダのURL：https://token.actions.githubusercontent.com
• 対象者：sts.amazonaws.com

上記を設定し、「プロバイダを追加」ボタンを押下

AWS側の設定はこれで終了です！

GitHub Actions側の設定

①実行用IAMロールのARNをSecretsに設定

※variablesやベタ打ちでも大丈夫ですがセキュリティ面に不安があるためSecretsに保存するのがおすすめです。

1.　GitHubにアクセスし、Settingsタブに移動

2.　「Security」内「Secrets and variables」の「Actions」を選択

3.　Repository secretsの「New repository secret」ボタンを押下

4.　「Name」に任意のSecret変数名、「Secret」に作成したIAMロールのARNを記載し、「Add secret」ボタンを押下

5.　Actionsタブに移動し、「New workflow」ボタンを押下

6.　Simple workflowの「Configure」ボタンを押下すると、新しいワークフロー作成画面へ遷移する

7.　ワークフローファイルの中身には以下を設定

ファイル名には「任意のファイル名.yaml」を設定してください。

github-actions-to-aws.yaml

name: github-actions-to-aws  # 任意のワークフロー名(処理名)
on: push  # on:push = ファイルがプッシュ(更新)されるごとに処理を動かす

jobs:
  run-container: # job名は任意。ワークフローを起動させるための設定
    name: run  # 任意の関数名
    runs-on: [Organaizationsで指定されているセルフホステッドランナー]  # 個人のアカウントの場合は「ubuntu-latest」などを設定
    permissions:
      id-token: write
      contents: write
    steps:
      - name: Checkout  # 関数名は任意
        uses: actions/checkout@v3
        
      - name: Configure AWS credentials  # 関数名は任意。AWS環境にアクセスする
        uses: aws-actions/configure-aws-credentials@v2
        with:
          role-to-assume: ${{ secrets.AWS_ROLE_TO_ASSUME_TEST }}  # 先ほど作成したSecretsを指定
          aws-region: ap-northeast-1  # Assume roleを行うリージョンを指定

      - name: CLI-install  # 関数名は任意。CLIのインストールを行う
        run: |
          curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
          unzip awscliv2.zip
          sudo ./aws/install  

      - name: [任意の関数名]
        run: |
          [任意の処理]
        # 例：bash ami-get.sh
          

最後の行 [任意の処理] の中に任意のスクリプトを入力することでAWS環境に対し任意のスクリプトを実行することができます。

また、2行目のon: pushを以下のように変更すると、任意の日次で定期実行や1回きりの実行ができるようになります。(cron形式で指定)

on:
  schedule:
    - cron: '0 6 * * 4'

---

本記事はここまでとなります。
閲覧いただき、ありがとうございました！