Cómo usar la autenticación de OIDC con canalizaciones de AWS SAM - AWS Serverless Application Model
Configura OIDC con canalización de AWS SAMEjemploMás información

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo usar la autenticación de OIDC con canalizaciones de AWS SAM

AWS Serverless Application Model (AWS SAM) admite la autenticación de usuarios OpenID Connect (OIDC) para Bitbucket, GitHub Actions y las plataformas de integración y entrega continuas (CI/CD). Con este soporte, puedes usar cuentas de usuario de CI/CD autorizadas de cualquiera de estas plataformas para administrar sus canalizaciones de aplicaciones sin servidor. De lo contrario, tendría que crear y administrar varios usuarios AWS Identity and Access Management (IAM) para controlar el acceso a las canalizaciones de AWS SAM

Configura OIDC con canalización de AWS SAM

Durante el proceso de configuración de sam pipeline bootstrap, haz lo siguiente para configurar el OIDC con tu canalización de AWS SAM.

  1. Cuando se te pida que elijas un proveedor de identidad, selecciona OIDC.

  2. A continuación, selecciona un proveedor de OIDC compatible.

  3. Introduce la URL del proveedor del OIDC, empezando por https://.

    nota

    AWS SAM hace referencia a esta URL cuando genera el tipo de recurso AWS::IAM::OIDCProvider.

  4. A continuación, sigue las instrucciones e introduce la información de la plataforma CI/CD necesaria para acceder a la plataforma seleccionada. Estos detalles varían según la plataforma y pueden incluir:

    • ID de cliente OIDC

    • Nombre del repositorio de código o identificador único universal (UUID)

    • Nombre del grupo o de la organización asociado con el repositorio

    • La organización de GitHub a la que pertenece el repositorio de códigos.

    • Nombre del repositorio de GitHub

    • Ramificación desde la que se realizarán las implementaciones.

  5. AWS SAM muestra un resumen de la configuración OIDC introducida. Introduce el número de una configuración para editarlo o pulsa Enter para continuar.

  6. Cuando se te pida que confirmes la creación de los recursos necesarios para admitir la conexión OIDC introducida, pulsa Y para continuar.

AWS SAM genera un recurso AWS::IAM::OIDCProvider AWS CloudFormation con la configuración proporcionada que asume la función de ejecución de la canalización. Para obtener más información sobre este tipo de recurso CloudFormation, consulta AWS::IAM::OIDCProvider en la Guía del usuario de AWS CloudFormation.

nota

Si el recurso del proveedor de identidad (IdP) ya existe en tu Cuenta de AWS, AWS SAM haz referencia a él en lugar de crear uno nuevo.

Ejemplo

El siguiente es un ejemplo de cómo configurar OIDC con canalización de AWS SAM.

Select a permissions provider:
    1 - IAM (default)
    2 - OpenID Connect (OIDC)
Choice (1, 2): 2
Select an OIDC provider:
    1 - GitHub Actions
    2 - GitLab
    3 - Bitbucket
Choice (1, 2, 3): 1
Enter the URL of the OIDC provider [https://token.actions.githubusercontent.com]:
Enter the OIDC client ID (sometimes called audience) [sts.amazonaws.com]:
Enter the GitHub organization that the code repository belongs to. If there is no organization enter your username instead: my-org
Enter GitHub repository name: testing
Enter the name of the branch that deployments will occur from [main]:

[3] Reference application build resources
Enter the pipeline execution role ARN if you have previously created one, or we will create one for you []:
Enter the CloudFormation execution role ARN if you have previously created one, or we will create one for you []:
Please enter the artifact bucket ARN for your Lambda function. If you do not have a bucket, we will create one for you []:
Does your application contain any IMAGE type Lambda functions? [y/N]:

[4] Summary
Below is the summary of the answers:
    1 - Account: 123456
    2 - Stage configuration name: dev
    3 - Region: us-east-1
    4 - OIDC identity provider URL: https://token.actions.githubusercontent.com
    5 - OIDC client ID: sts.amazonaws.com
    6 - GitHub organization: my-org
    7 - GitHub repository: testing
    8 - Deployment branch: main
    9 - Pipeline execution role: [to be created]
    10 - CloudFormation execution role: [to be created]
    11 - Artifacts bucket: [to be created]
    12 - ECR image repository: [skipped]
Press enter to confirm the values above, or select an item to edit the value:

This will create the following required resources for the 'dev' configuration:
    - IAM OIDC Identity Provider
    - Pipeline execution role
    - CloudFormation execution role
    - Artifact bucket
Should we proceed with the creation? [y/N]:

Más información

Para obtener más información acerca del uso de OIDC con canalización AWS SAM, consulta sam pipeline bootstrap.