ああ、見守る気を起こさせるためにエントリを取得します。
それは、私が少し前に何度も何度も夢中になった話題です。
なぜ
私もセキュリティチャレンジで疲れ果てていたから? DevSecOps-ing は私のちっぽけな心を尽くしましたか? ルートではありません!
私は、これまでに受け入れられたビデオ ゲームの 1 つを繰り返しプレイしていました。“Papers, Please
Itこのスポーツを初めてプレイしてから数年が経ちましたが、再プレイすると、新鮮な既視感を振り払うことができませんでした。 なぜこのタイプを感じたのかを考えてみたところ、ひらめきました。 少し前に、このブログの展開パイプラインを OpenID Connect (OIDC) で保護しました。
今、私が何について話しているのかわからない? 指摘させてください…
What’s Papers, Please?
ウェブスポーツ「Papers, Please」では、プレイヤーは入国審査官の役を演じます。ディストピアの国、アルストツカ。 あなたの役割は、入国審査官が、変化し続ける多くの国境に、アルストツカ当局による保険契約の取り決めを監視する動機を課しているためです。国境検問所を通過する旅行者。 事務処理は、検査時に適用される多くの原則と法律で破壊的に参照されなければなりません。 あなたはプレーヤーなので、誰が入国を許可されているか、許可されていないかについて、破裂を発明する必要があります.
適切に回収してください。そうすれば、昇進と賞賛で報われるでしょう。 あなたの愛する人は繁栄し、Arstotzka はますます強さを増していきます!
それを巨大なものから救い出してください。
- では、OIDC はこれを達成するために何を占めているのでしょうか?
- 部門は、基本的に完全に要求者の個人的な特徴と表明された意図に基づいて、これらの書類を作成し、要求者に返される可能性があります.
- 入国審査官が書類をもう一度分析する関連する移民政策を検討し、入国を承認または送達する決定を発明します。
このスポーツと、OIDC でクラウド リソースを確保するタスクとの間には、確かな類似点があります。 まず、スポーツの主要なシステムと、それらがどのように機能するかを調べてみましょう.
この設計図に従って作業してみましょう:
アルストツカ当局は、誰が入国できるか、どのような前提条件の下で入国できるかを決定する移民政策を作成します. 旅行者は資格のある書類部門に行き、指定された身分証明書と書類を作成します. 有望な国境通過者は、これらの書類をぶら下げて、
その後、旅行者のパスポートは、検査の結果を見て、承認または拒否ラベルの両方が押されて返されます.
では、このタスク マップが OIDC を使用してクラウド リソースを保護するのにどのように役立つかを調査してみましょう。
まず、ワークフローのブループリントを検討してみましょう:
繰り返しますが、ワークフローの手順に従って作業しましょう。 今回は、各ステップがどのように Papers, Please にも適用されるかについて説明していただく必要があります.
- AWS ストーリー所有者 (またはリソース所有者) は、IAM で OIDC Believe Protection を作成します。 この信念ポリシーは、どの OIDC トークン、および承認されたトークンに対する後続の要求が、要求されている役割で人気があるかを決定します。
- Github ワークフローは、OIDC プロバイダーから OIDC トークンを作成するステップを回避します。 このプロバイダーは、必要な ID プロバイダーに合わせてカスタマイズされるか、デフォルトの Github プロバイダーで保存された倫理的なものになります。
- OIDC プロバイダーは、実際の人物の ID と実際の人物が要求したクレームを含む JSON Web トークン (JWT) を生成します。
- Github ワークフローは、このトークンを適格な AWS IAM サービスに報酬を与えます。
- AWS IAM はトークンの信頼性を調べ、内部に含まれるクレームを確認します。 OIDC Believe Protection に対してそれを実行します。
トークンが公式と見なされると、AWS IAM は実際の人物に、AWS リソースへのエントリを取得するために渡すこともできるトークンへの一時的なエントリを付与します。 ご本人様の入場をお断りさせていただきます。スポーツと OIDC 認証タスクの比較をまとめましょう:
)だから何?
それは膨大な需要です!
実際には、ゲームは OIDC でクラウド リソースを確保するタスクを視覚化するための巨大なマップです。 正当な記録は、ほとんどの場合、比較的ドライでぶらぶらするのに疲れますが、スポーツは、教えられ、新しい理論を理解するための巨大な地図です.
確かに、あるかもしれませんが、他のすべての部分.
このスポーツから得られる多くの魅力的なポイントの 1 つは、間違いなく、参加して時計を付ける動機付けになるのは、安全性と価格の間の快適な安定性であるということです。 保険契約の監視を動機付けるための入力が高度になればなるほど、それらを実行するのはより複雑になります。
このバランス関係は、クラウドと CI/CD の安全性にまで及ぶことなく適用されます。
パイプライン シークレット、API キー、IAM 資格情報などはすべて死んでおり、管理と動機付けのために洗練されています。 キーまたは手動認証をシステムに提供する手動のタスクは、摩擦の提供であり、エラーが発生する傾向があるか、支配的な取り決め内でシステムとやり取りすることを思いとどまらせます.
だから、私がブログの展開パイプラインを安定させる方法に心を奪われた私は、安全性を損なうことなく、考えられる限り摩擦のない保護を発明したいと考えました。 それがさらに簡単に効果を発揮し、簡単にやる気を起こさせるようになった場合のボーナス側面.
OIDC はこの基準を完全に満たしていました.
OIDC の利点を要約すると:
1 . ある程度の距離です 簡単に力を入れられます. AWSでOIDCを有効にするのはとても簡単で、OIDCの信念ポリシーをAWS IAM と aws-action/ の利用configure-aws-credentials アクションGithubワークフロー.
2. ある程度の距離です 安定 OIDC プロバイダーによって生成された JWT は、非公開鍵で署名されており、また、一般公開鍵でスムーズに検証することもできます。 そのため、トークンが OIDC プロバイダーからのものであり、悪意のある 3 歳の誕生日のお祝いではないことを確認してください
3. それはいくらかの距離です 汎用性があります. OIDC の信念ポリシーは、あなたが望むほどかなりきめの細かいものでも山岳的なものでもあります。 クレームの束 JWT内の報酬でなければならないものも指定されます. 4. それはある程度の距離です スケーラブルです. 複数のAWSアカウントと複数のAWS リージョン。 このフォームは、展開パイプラインを複数の環境に簡単にスケーリングできる可能性があります.
5. ある程度の距離です 簡単に保持できます。 API キー、IAM 資格情報、またはシークレットの管理はもう必要ありません。
要約すれば…
この記事で、OIDC がどのように機能するか、またクラウド リソースを安定させるためにどのように使用するかについて、より深く理解していただければ幸いです。特に CI/CD パイプラインとのインターフェースの場合.
ああ、あなたがプレイしていない間は Papers, Please, 私は非常にそれを助言します。 それは巨大なスポーツであり、ウォッチをやる気にさせるエントリーの複雑さについて教えられる巨大な地図です.
