GitHub-Actions

限制GitHub Actions的访问权限，只允许特定组织的仓库通过OIDC方式访问AWS资源。

拒绝未授权的GitHub Actions访问：阻止不属于指定组织的GitHub仓库通过Web Identity联合身份验证访问AWS

{
    "Version":"2012-10-17",
    "Statement":[
       {
          "Effect":"Deny",
          "Principal":"*",
          "Action":"sts:AssumeRoleWithWebIdentity",
          "Resource":"*",
          "Condition":{
             "StringNotLikeIfExists":{
                "token.actions.githubusercontent.com:sub":"repo:<octo-org>/*"
             },
             "Null":{
                "token.actions.githubusercontent.com:sub":"false"
             }
          }
       }
    ]
}

条件逻辑：

1. "StringNotLikeIfExists": {"token.actions.githubusercontent.com:sub":"repo:<octo-org>/*"}

• 如果token中的sub声明存在，且不匹配repo:<octo-org>/*模式，则拒绝访问

• 只允许<octo-org>组织下的仓库访问

2. "Null": {"token.actions.githubusercontent.com:sub":"false"}

• 确保token中必须包含sub声明（不能为空）

from：https://github.com/aws-samples/resource-control-policy-examples/blob/main/Limit-access-to-trusted-OIDC-identity-providers/GitHub-Actions.json

上一页Deny-built-in-web-identity-providers 下一页限制对受信任的 OIDC 身份提供商的访问

最后更新于3个月前