閲覧ありがとうございます。
本記事では、一回繋いでしまえば超絶便利なGitHub ActionsとAWSの連携方法を共有します。
今回は、GitHub ActionsとAWSを、IAM IDプロバイダ・STSを用いて連携します。
【 用意するもの 】
私はAWS Nuke(*1)をAWS環境に対し実行したかったため、AdministratorAccess権限を持つIAMロールを作成しました。
(*1) AWS Nuke:AWS環境内のリソースを一括削除することができるオープンソースのツール。(後日NukeとGitHub Actionsを用いた不要リソースの自動定期削除について記事を投稿予定です)
信頼ポリシー内で、ワークフローファイル(=GitHub Actionsでスクリプトを実行するファイル)からの認証用URL経由のアクセス時にassume roleするよう許可します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::[アカウントID]:oidc-provider/token.actions.githubusercontent.com"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringLike": {
"token.actions.githubusercontent.com:sub": "repo:[Organizations名 or 個人アカウント名]/[リポジトリ名]:*"
}
}
}
]
}
注意点
上記を設定し、「プロバイダを追加」ボタンを押下
AWS側の設定はこれで終了です!
※variablesやベタ打ちでも大丈夫ですがセキュリティ面に不安があるためSecretsに保存するのがおすすめです。
ファイル名には「任意のファイル名.yaml」を設定してください。
github-actions-to-aws.yaml
name: github-actions-to-aws # 任意のワークフロー名(処理名)
on: push # on:push = ファイルがプッシュ(更新)されるごとに処理を動かす
jobs:
run-container: # job名は任意。ワークフローを起動させるための設定
name: run # 任意の関数名
runs-on: [Organaizationsで指定されているセルフホステッドランナー] # 個人のアカウントの場合は「ubuntu-latest」などを設定
permissions:
id-token: write
contents: write
steps:
- name: Checkout # 関数名は任意
uses: actions/checkout@v3
- name: Configure AWS credentials # 関数名は任意。AWS環境にアクセスする
uses: aws-actions/configure-aws-credentials@v2
with:
role-to-assume: ${{ secrets.AWS_ROLE_TO_ASSUME_TEST }} # 先ほど作成したSecretsを指定
aws-region: ap-northeast-1 # Assume roleを行うリージョンを指定
- name: CLI-install # 関数名は任意。CLIのインストールを行う
run: |
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
- name: [任意の関数名]
run: |
[任意の処理]
# 例:bash ami-get.sh
最後の行 [任意の処理] の中に任意のスクリプトを入力することでAWS環境に対し任意のスクリプトを実行することができます。
また、2行目のon: pushを以下のように変更すると、任意の日次で定期実行や1回きりの実行ができるようになります。(cron形式で指定)
on:
schedule:
- cron: '0 6 * * 4'
本記事はここまでとなります。
閲覧いただき、ありがとうございました!
Be the first to comment
