Zenn
☺️

【GitHub Actions】AWSとのOIDC連携で特定のFingerprintを指定する必要がなくなりました

2023/07/12に公開
AWS
GitHub Actions
OIDC
tech

前回のあらすじ

GitHub ActionsワークフローでAWSとOIDC連携するときは、
Fingerprintを2つ登録しないとエラーがでる

https://github.blog/changelog/2023-06-27-github-actions-update-on-oidc-integration-with-aws/
https://zenn.dev/not75743/articles/1e25a492636c9a

今回の結論

  • AWSはGitHubのOIDC設定のエラーを解消した
  • 将来証明書のローテーションや変更があっても正しく動作する
  • 特別な対応は不要

何を言っているの?

AWSがGitHubのOIDC設定のエラーを解消したため、特定のFingerprintの指定をする必要がなくなりました。
今後はFingerprintの値を気にする必要がないです。

https://github.com/aws-actions/configure-aws-credentials/issues/357

わたしの環境ではAWSからの案内メールが届き、
AWS Health Dashboardのアカウントイベントにものっていました。
AWSとのOIDC連携をしている皆様はご確認くださいませ。

検証

Finterprintを適当な値にする

試しにこんな感じにしてみます。
注意書きが増えていますね。

ワークフローを動かしました

いけたっぽいです。

IDプロバイダを削除からの再作成

再作成してみました。

ブログにもあった現在のFingerprintですね。
無事成功です。

IDプロバイダなし

もしかしてIDプロバイダなしでもいけるんじゃないか!?
削除しました!

はい、もちろん無理です。

おわりに

Fingerprintを指定しなくてもいいのは助かりますね。
Terraformでも適当な文字列を入れればよいので楽です。

仕組み?自信ないからまた後日...

参考

https://github.com/aws-actions/configure-aws-credentials/issues/357#issuecomment-1626357333
https://tech.route06.co.jp/entry/2023/06/29/181610

Discussion