Como usar a autenticação OIDC com pipelines AWS SAM - AWS Serverless Application Model
Configurar o OIDC com pipeline AWS SAM ExemploSaiba mais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar a autenticação OIDC com pipelines AWS SAM

AWS Serverless Application Model (AWS SAM) suporta autenticação de usuário OpenID Connect (OIDC) para Bitbucket, GitHub Actions e integração GitLab contínua e entrega contínua (contas de CI/CD) platforms. With this support, you can use authorized CI/CD usuário de qualquer uma dessas plataformas) para gerenciar seus pipelines de aplicativos sem servidor. Caso contrário, você precisaria criar e gerenciar vários usuários AWS Identity and Access Management (IAM) para controlar o acesso aos AWS SAM pipelines.

Configurar o OIDC com pipeline AWS SAM

Durante o processo sam pipeline bootstrap de configuração, faça o seguinte para configurar o OIDC com seu AWS SAM pipeline.

  1. Quando solicitado a escolher um provedor de identidade, selecione OIDC.

  2. Em seguida, selecione um provedor OIDC compatível.

  3. Insira a URL do provedor OIDC, começando com https://.

    nota

    AWS SAM faz referência a esse URL quando ele gera o tipo de AWS::IAM::OIDCProvider recurso.

  4. Em seguida, siga as instruções e insira as informações da plataforma CI/CD necessárias para acessar a plataforma selecionada. Esses detalhes variam de acordo com a plataforma e podem incluir:

    • ID do cliente do OIDC.

    • Nome do repositório do código ou identificador universalmente exclusivo (UUUID).

    • O nome do grupo ou da organização associada ao repositório.

    • GitHub organização à qual o repositório de código pertence.

    • GitHub nome do repositório.

    • Filial a partir da qual as implantações ocorrerão.

  5. AWS SAM exibe um resumo da configuração do OIDC inserida. Insira o número de uma configuração para editá-la ou pressione Enter para continuar.

  6. Quando solicitado a confirmar a criação dos recursos necessários para suportar a conexão OIDC inserida, pressione Y para continuar.

AWS SAM gera um AWS::IAM::OIDCProvider AWS CloudFormation recurso com a configuração fornecida que assume a função de execução do pipeline. Para saber mais sobre esse tipo de CloudFormation recurso, consulte AWS: :IAM:: OIDCProvider no Guia do AWS CloudFormation usuário.

nota

Se o recurso do provedor de identidade (IdP) já existir no seu Conta da AWS, AWS SAM faça referência a ele em vez de criar um novo recurso.

Exemplo

A seguir está um exemplo de configuração do OIDC com AWS SAM pipeline.

Select a permissions provider:
    1 - IAM (default)
    2 - OpenID Connect (OIDC)
Choice (1, 2): 2
Select an OIDC provider:
    1 - GitHub Actions
    2 - GitLab
    3 - Bitbucket
Choice (1, 2, 3): 1
Enter the URL of the OIDC provider [https://token.actions.githubusercontent.com]:
Enter the OIDC client ID (sometimes called audience) [sts.amazonaws.com]:
Enter the GitHub organization that the code repository belongs to. If there is no organization enter your username instead: my-org
Enter GitHub repository name: testing
Enter the name of the branch that deployments will occur from [main]:

[3] Reference application build resources
Enter the pipeline execution role ARN if you have previously created one, or we will create one for you []:
Enter the CloudFormation execution role ARN if you have previously created one, or we will create one for you []:
Please enter the artifact bucket ARN for your Lambda function. If you do not have a bucket, we will create one for you []:
Does your application contain any IMAGE type Lambda functions? [y/N]:

[4] Summary
Below is the summary of the answers:
    1 - Account: 123456
    2 - Stage configuration name: dev
    3 - Region: us-east-1
    4 - OIDC identity provider URL: https://token.actions.githubusercontent.com
    5 - OIDC client ID: sts.amazonaws.com
    6 - GitHub organization: my-org
    7 - GitHub repository: testing
    8 - Deployment branch: main
    9 - Pipeline execution role: [to be created]
    10 - CloudFormation execution role: [to be created]
    11 - Artifacts bucket: [to be created]
    12 - ECR image repository: [skipped]
Press enter to confirm the values above, or select an item to edit the value:

This will create the following required resources for the 'dev' configuration:
    - IAM OIDC Identity Provider
    - Pipeline execution role
    - CloudFormation execution role
    - Artifact bucket
Should we proceed with the creation? [y/N]:

Saiba mais

Para obter mais informações sobre como usar o OIDC com o AWS SAM pipeline, consulte. sam pipeline bootstrap