GitHub Actions入門 ── ワークフローの基本的な構造からOIDCによる外部サービス認証まで

GitHub Actionsは、GitHubが提供するCI/CDのためのワークフローエンジンです。ワークフローエンジンは、ビルド、テスト、デプロイといったCI/CD関連のワークフローを実行し、定期実行するワークフローを管理するなど、開発におけるソフトウェア実行の自動化を担います。

▶ GitHub Actions - アイデアからリリースまでのワークフローを自動化

GitHub Actionsは2018年にリリースされた比較的新しいサービスですが、GitHub自身に組み込まれていることから、GitHubユーザーにとっては「デフォルトのCI/CD」として好まれ、2022年現在はもっともメジャーなCI/CDのためのワークフローエンジンの1つになりました。

この記事では、GitHub Actionsの基本的な構造と典型的なユースケースにおけるワークフローの記述方法を紹介していきます。ビルドマトリックス、タイムアウト、GitHub APIを利用するための認証・認可の管理といった実践的な技術に加えて、2021年11月から提供されているGitHub OIDC（OpenID Connect）を利用した外部サービスの認証についても紹介します。

• GitHub Actionsとは何か？ どういう特徴があるか？
• GitHub Actionsにおけるワークフローの基本的な構造
  • ワークフローを定義してみる
  • ワークフローファイルの作成
  • ワークフロー名とファイル名
• ワークフローを起動する主なイベントトリガー
  • on.push - リポジトリへのgit pushによって起動するトリガー
  • on.pull_request - プルリクエストが作成・更新されると起動するトリガー
  • on.schedule - 定期実行を管理するトリガー
  • 実行結果の確認
  • その他のトリガー
• ビルドマトリックスで複数のジョブを作成する
  • includeを使ってパラメータパターンを構築する
  • マトリックスのあるジョブが失敗したとき
• timeout-minutesキーによるタイムアウト
• ワークフローで認証情報などの秘匿値を使う
• ワークフローで使えるアクセストークンと権限管理
  • GITHUB_TOKENの制限
  • GITHUB_TOKENの権限管理
• GitHub OpenID Connectにより外部サービスで認証する
  • GitHub OIDCのアーキテクチャ
  • GCPにGitHub OIDCへの応答を設定する
    • (1) 対象となるGCPプロジェクトを決める
    • (2) サービスアカウントを作成
    • (3) 作成したサービスアカウントにロールで必要な権限を与える
    • (4) IAM Credentials APIを有効にする
    • (5) Workload Identity Poolを作成する
    • (6) Workload Identity Poolの名前を取得
    • (7) Workload Identity Providerを作成
    • (8) Workload Identity Providerからの認証を許可
    • (9) Workload Identity Providerの名前を取得
  • ワークフローでgoogle-github-actions/auth@v0を使って認証する
  • クラウドプロバイダーがGitHub OIDCのJWTを検証する仕組み
  • GitHub OIDCの参考情報
• その他の重要な機能
• 終わりに - ワークフローを複雑にし過ぎないこと

GitHub Actionsとは何か？ どういう特徴があるか？