【GCP】GitHub Actionsからキーなしで認証するための設定

はじまり#

リサちゃん

GitHub ActionsからGoogle Cloud Platformに接続するための認証が面倒で、どこで躓いたが分からなくなってしまったのだよ・・・！

135ml

じゃあ、今回は、GitHub ActionsでGCPを使うために行う初期設定を書いてみるかぁ。

リサちゃん

押忍！

設定作業その1：Google Cloud PlatformでAPIを有効化する#

まず、Google Cloud Platformでプロジェクトを作成します。（作成の過程は割愛します。）

そして、GCPのコンソール画面のサイドバーから以下の「ライブラリ」をクリックします。

以下の画面から、今回必要なAPIを有効化します。今回は２種類のAPIを有効化します。

そして、「Google Drive API」と「Google Sheets API」を有効化します。

APIが追加できたかどうかを確認します。

今度は、「APIとサービス」の「ダッシュボード」をクリックして以下のような画面で確認します。

設定作業その2：Google Cloud Platformで認証情報を設定する#

外部アプリケーションからスプレッドシートにリクエストするためにクレデンシャル情報を設定します。

「認証情報を作成」をクリックして、「サービスアカウント」を選びます。

サービスアカウントの設定画面になります。

編集者を選択します。

ここは省略します。

そして、作成したサービスアカウントを確認して、キーの出力を行います・・・

と、思ったのですが、警告文に「代わりにWorkload Identity 連携を使用することをおすすめします。」と書いてありました。

確かに、キーはJSON形式で色々な情報が含まれています。

そんな大変な情報をいちいち出力するのはあまりよろしくない気がするので、予定変更で、Workload Identity 連携をしてみたいと思います。

設定作業その2改：Cloud SDKで認証情報を設定する#

上述のとおり、JSONキーを取得する方法ではなく、Workload Identity連携で認証の設定をしたいと思います。

そして、その設定が結構込み入ったものになっていたので、後に設定変更しやすくするために、GCPのGUI上ではなく、Cloud SDK＋GitHub Actionsを利用した方法でやってみました。

このサイトを参考に行ってみました。

Google Cloud Documentation

gcloud alpha functions | Google Cloud SDK | Google Cloud Documentation

docs.cloud.google.com

クラスメソッド発「やってみた」系技術メディア | DevelopersIO

サービスアカウントキーを用いずにGitHub ActionsからGoogle Cloudと認証する | DevelopersIO

Workload Identity連携を使って認証し、サービスアカウント情報をgcloudで取得するというワークフローを試してみます。

dev.classmethod.jp

ちなみに、GUI上でWorkload Identity 連携を行う場合はこんな画面で行うみたいです。

Cloud SDKを使う用にDocker Buildする#

DockerコンテナをBuildします。

Dockerfile:

1
FROM ubuntu:latest
2

3
RUN apt update
4

5
WORKDIR /usr/src/app
6
COPY ./ /usr/src/app
7

8
# prepare setting up Cloud-SDK
9
RUN apt install apt-transport-https ca-certificates gnupg -y
10
RUN echo "deb [signed-by=/usr/share/keyrings/cloud.google.gpg] http://packages.cloud.google.com/apt cloud-sdk main" | tee -a /etc/apt/sources.list.d/google-cloud-sdk.list
11
RUN apt install -y curl
12
RUN curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | apt-key --keyring /usr/share/keyrings/cloud.google.gpg add -
13
RUN apt update
14
RUN apt install -y python3 python3-pip
15

16
# setup Cloud-SDK
17
RUN apt update && apt install google-cloud-sdk -y

Bashとかコマンドプロンプト:

1
docker build -t my-cloudsdk-container .

設定作業（Cloud-SDK側）#

Buildした後は、こちらにも掲載していますが、結構長い作業が待っています・・・。

1. Dockerコンテナをrunさせます。#

Bashとかコマンドプロンプト:

1
docker run -it --rm --name my-running-container my-cloudsdk-container

1-1. Cloud-SDKが入っているどうかを確認。#

1
gcloud -v

1-2. Cloud-SDKをinitialize#

1
gcloud init

2-1. 環境変数を宣言（その1）#

1
export PROJECT_ID="AAAAAAAAAAAAAA"
2
export SERVICE_ACCOUNT_NAME="BBBBBBBBBBBBB"
3
export DISPLAY_NAME="CCCCCCCCCCCC"
4
export DESCRIPTION="DDDDDDDDDDDDDDDDDD"

2-2. GitHub Actions上で利用するサービスアカウントを作成#

1
gcloud iam service-accounts create "${SERVICE_ACCOUNT_NAME}" --project "${PROJECT_ID}" --display-name "${DISPLAY_NAME}" --description "${DESCRIPTION}"

2-3. サービスアカウントに権限を付与する#

1
gcloud projects add-iam-policy-binding "${PROJECT_ID}" --role="roles/editor" --member="serviceAccount:${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com"

2-4. IAM Service Account Credentials APIを有効化する。#

サービスアカウントの一時的な認証情報を作成できるようにするために、IAM Service Account Credentials APIを有効化する。

1
gcloud services enable iamcredentials.googleapis.com --project "${PROJECT_ID}"

3-1. 環境変数を宣言（その2）#

1
export POOL_NAME="EEEEEEEEEEEEE"
2
export DISPLAY_POOL_NAME="FFFFFFFFFFFFFF"
3
export POOL_DESCRIPTION="GGGGGGGGGGGGGGGGGGGGG"

3-2. Workload Identityプールを作成する#

Workload Identityプールは外部IDとGoogle Cloudとの紐付けを設定したWorkload Identityプロバイダをグループ化し管理するために、Workload Identityプールを作成する。

1
gcloud -vgcloud iam workload-identity-pools create "${POOL_NAME}" --project="${PROJECT_ID}" --location="global" --display-name="${DISPLAY_POOL_NAME}" --description="${POOL_DESCRIPTION}"

3-3. Workload IdentityプールのIDを取得して、環境変数に代入する#

1
gcloud -vexport WORKLOAD_IDENTITY_POOL_ID=`gcloud iam workload-identity-pools describe "${POOL_NAME}" --project="${PROJECT_ID}" --location="global" --format="value(name)"`

4-1. 環境変数を宣言（その3）#

1
export PROVIDER_NAME="HHHHHHHHHHHHHHHHHH"
2
export DISPLAY_PROVIDER_NAME="IIIIIIIIIIIIIIIII"

4-2. Workload Identityプロバイダを作成する#

1
export PROVIDER_NAME="HHHHHHHHHHHHHHHHHH"
2
export DISPLAY_PROVIDER_NAME="IIIIIIIIIIIIIIIII"

5-1. 環境変数を宣言（その4）#

1
export REPO="JJJJJJJ/KKKKKKKKKKK"

5-2. 環境変数のREPOにGitHub Actionsを動かすリポジトリを設定し、IAMポリシーバインディングを作成する#

1
gcloud iam service-accounts add-iam-policy-binding "${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" --project="${PROJECT_ID}" --role="roles/iam.workloadIdentityUser" --member="principalSet://iam.googleapis.com/${WORKLOAD_IDENTITY_POOL_ID}/attribute.repository/${REPO}"

とりあえず設定できているかどうかを確認#

ちなみに、GCPのGUIコンソールで確認すると、サービスアカウントの画面でこんな感じになっているかと思います。

この時点では、キーIDはまだ無いかと思います。今回は設定しません。

Workload Identity連携の画面では、こんな感じになっているかと思います。

5-3. Workload Identityプロバイダの名前を取得する。#

1
export FULL_PROVIDER_NAME=`gcloud iam workload-identity-pools providers describe "${PROVIDER_NAME}" --project="${PROJECT_ID}" --location="global" --workload-identity-pool="${POOL_NAME}" --format="value(name)"`

5-4. プロパイダの名前をメモする。#

1
export FULL_PROVIDER_NAME=`gcloud iam workload-identity-pools providers describe "${PROVIDER_NAME}" --project="${PROJECT_ID}" --location="global" --workload-identity-pool="${POOL_NAME}" --format="value(name)"`

6-1. Cloud-SDKからログアウトする。#

一応、コンテナから接続しているアカウントをログアウトさせます。

1
gcloud auth revoke

設定作業（GitHub Actions側）#

Workflowファイルの中身#

中身はこんなふうになっています。

一応、yamlファイルの中の環境変数と、先程Cloud-SDKで宣言した環境変数の名前は同じですので、途中でこんがらがったら確認してみてください。 .github/workflows/gcloudAuth.yaml:

1
name: Auth GCP and Describe service account
2

3
on:
4
  workflow_dispatch
5

6
env:
7
  PROJECT_ID: 'プロジェクトID'
8
  SERVICE_ACCOUNT_NAME: 'サービスアカウントの名前'
9
  FULL_PROVIDER_NAME: 'projectsから始まるプロパイダの名前'
10

11
jobs:
12
  updateFeed:
13
    runs-on: ubuntu-latest
14
    permissions:
15
      contents: 'read'
16
      id-token: 'write'
17
    steps:
18
    - name: Checkout
19
      uses: actions/checkout@v2
20

21
    - name: Auth GCP
22
      id: 'google-cloud-auth'
23
      uses: google-github-actions/auth@v0.4.1
24
      with:
25
        create_credentials_file: true
26
        workload_identity_provider: ${{ env.FULL_PROVIDER_NAME }}
27
        service_account: ${{ env.SERVICE_ACCOUNT_NAME }}@${{ env.PROJECT_ID }}.iam.gserviceaccount.com
28

29
    - name: Set up Cloud-SDK
30
      uses: google-github-actions/setup-gcloud@v0
31

32
    - name: Describe my-service-account
33
      run: gcloud iam service-accounts describe ${{ env.SERVICE_ACCOUNT_NAME }}@${{ env.PROJECT_ID }}.iam.gserviceaccount.com

動作確認#

実際に、GitHub Actionsを実行してみてちゃんと出来ているかどうかを確認します。

おしまい#

リサちゃん

ふい〜、何とか設定できたなあ〜〜

135ml

今まで行った設定作業の中で、かなり長い方だったな・・・まあ、再現性は高いと思うけど。

以上になります！

音楽

音楽

はじまり#

設定作業その1：Google Cloud PlatformでAPIを有効化する#

設定作業その2：Google Cloud Platformで認証情報を設定する#

設定作業その2改：Cloud SDKで認証情報を設定する#

Cloud SDKを使う用にDocker Buildする#

設定作業（Cloud-SDK側）#

1. Dockerコンテナをrunさせます。#

1-1. Cloud-SDKが入っているどうかを確認。#

1-2. Cloud-SDKをinitialize#

2-1. 環境変数を宣言（その1）#

2-2. GitHub Actions上で利用するサービスアカウントを作成#

2-3. サービスアカウントに権限を付与する#

2-4. IAM Service Account Credentials APIを有効化する。#

3-1. 環境変数を宣言（その2）#

3-2. Workload Identityプールを作成する#

3-3. Workload IdentityプールのIDを取得して、環境変数に代入する#

4-1. 環境変数を宣言（その3）#

4-2. Workload Identityプロバイダを作成する#

5-1. 環境変数を宣言（その4）#

5-2. 環境変数のREPOにGitHub Actionsを動かすリポジトリを設定し、IAMポリシーバインディングを作成する#

とりあえず設定できているかどうかを確認#

5-3. Workload Identityプロバイダの名前を取得する。#

5-4. プロパイダの名前をメモする。#

6-1. Cloud-SDKからログアウトする。#

設定作業（GitHub Actions側）#

Workflowファイルの中身#

動作確認#

おしまい#

記事を共有

音楽

目次