IAM-ROLE¶
IAM ロールを作成するためのパッケージです。
対応サービス¶
AWS: AWS IAM
パッケージの機能¶
本パッケージでは、IAM ロールを作成するための機能を提供します。
IAM ロールの作成
IAM ロールへのポリシーのアタッチ
GitHub ActionsからのOIDC認証
GitHub Actionsとの OIDC 認証¶
特定の GitHub リポジトリからの Actions によるアクセスを許可する IAM ロールを作成できます。 これにより、クレデンシャル情報を管理することなく、GitHub Actions を介して安全に AWS リソースへアクセスすることが可能となります。
GitHub Actions からの OIDC 認証を行うためには、クラスターと同一のアカウントに以下のIDプロバイダーリソースを作成しておく必要があります。
対象者: sts.amazonaws.com
Values¶
Default values¶
# AWS IAM Role名 (必須)
# name: ""
assumeRole:
# assumeRole(スイッチロール)を許可するかどうか
enabled: false
# 切り替え元のアカウントID. 指定がなければクラスターと同じアカウントIDを使用
sourceAccountId: ""
assumeRoleWithWebIdentity:
# GitHub ActionsからAssumeRoleWithWebIdentityを利用するための設定
githubActions:
enabled: false
# GitHub組織名
organization: ""
# 対象リポジトリのリスト
repositories:
- name: ""
# ロールに付与するポリシー
# arn もしくはマネージドポリシー名を指定する
# カスタムポリシーを指定する場合はarnを指定する
policies: []
# - name: AmazonS3FullAccess
# - name: arn:aws:iam::aws:policy/CloudWatchFullAccess
Schema reference¶
Values¶
https://github.com/sbopsv/MASTER-CONTAINER-HELM-IAM-ROLE/blob/master/values.schema.json |
||||||
type |
object |
|||||
properties |
||||||
|
AWS IAM Role名 |
|||||
type |
string |
|||||
|
assumeRole設定。ロールの切り替え権限に関する設定。 |
|||||
type |
object |
|||||
properties |
||||||
|
assumeRoleを許可するかどうか |
|||||
type |
boolean |
|||||
default |
False |
|||||
|
切り替え元のアカウントID. 指定がなければクラスターと同じアカウントIDを使用 |
|||||
type |
string |
|||||
|
type |
object |
||||
properties |
||||||
|
type |
object |
||||
properties |
||||||
|
GitHub ActionsからAssumeRoleWithWebIdentityを利用するための設定を有効にするかどうか |
|||||
type |
boolean |
|||||
default |
False |
|||||
|
GitHub組織名 |
|||||
type |
string |
|||||
|
対象リポジトリのリスト |
|||||
type |
array |
|||||
items |
type |
object |
||||
properties |
||||||
|
対象リポジトリの名前 |
|||||
type |
string |
|||||
|
ロールに付与するポリシー一覧。 |
|||||
type |
array |
|||||
items |
type |
object |
||||
properties |
||||||
|
適用するポリシー名。arn もしくはマネージドポリシー名を指定。カスタムポリシーの場合はarnを指定。例: CloudWatchFullAccess |
|||||
type |
string |
|||||
Example¶
Example1-1. AWS IAM¶
apiVersion: managed.msp.sbopsv/v1alpha1
kind: IamRole
metadata:
name: test-role001
namespace: staging
spec:
name: test-role001
assumeRole:
enabled: true
policies:
- name: AmazonS3FullAccess
- name: CloudWatchFullAccess
Example1-2. AWS IAM と GitHub Actionsの連携¶
apiVersion: managed.msp.sbopsv/v1alpha1
kind: IamRole
metadata:
name: test-role002
namespace: staging
spec:
name: test-role002
assumeRoleWithWebIdentity:
githubActions:
enabled: true
organization: "org1"
repositories:
- name: "repo1"
- name: "repo2"
Change Log¶
0.1.3¶
Released on 2025-08-07
What's Changed
パッケージ内で利用しているライブラリの更新を行いました。
0.1.2¶
Released on 2025-05-15
What's Changed
パッケージ内で利用しているライブラリの更新を行いました。
0.1.1¶
Released on 2025-04-03
What's Changed
- ドキュメントのGitHub Actionsとの OIDC 認証の章を更新しました
GitHub Actionsとの OIDC 認証の章を更新しました
0.1.0¶
Released on 2025-03-26
What's Changed
- (AWSのみ) IAM Role管理用パッケージを新規リリースしました