AWS에서 OpenID Connect 구성하여 임시 자격 증명 검색

Tier: Free, Premium, Ultimate Offering: GitLab.com, Self-managed, GitLab Dedicated
caution
CI_JOB_JWT_V2GitLab 15.9에서 폐기되었습니다 GitLab 17.0에서 제거될 예정입니다. 대신 ID 토큰을 사용하세요.

이 튜토리얼에서는 GitLab CI/CD 작업에서 JSON 웹 토큰(JWT)을 사용하여 AWS에서 임시 자격 증명을 검색하는 방법을 보여드리겠습니다. 이를 위해 GitLab과 AWS 간의 ID 연합을 구성해야 합니다. OIDC(OpenID Connect)를 구성해야 합니다. OIDC를 사용하여 GitLab 통합에 대한 백그라운드 및 요구 사항은 클라우드 서비스에 연결를 참조하세요.

이 튜토리얼을 완료하려면:

  1. ID 제공자 추가
  2. 역할 및 신뢰 구성
  3. 임시 자격 증명 검색

ID 제공자 추가

다음 지침을 따라 AWS에서 GitLab을 IAM OIDC 제공자로 생성하세요.

다음 정보를 포함하세요:

  • 제공자 URL: GitLab 인스턴스 주소(예: https://gitlab.com 또는 http://gitlab.example.com)입니다. 이 주소는 공개적으로 접근 가능해야 합니다.
  • 수용자: GitLab 인스턴스 주소(예: https://gitlab.com 또는 http://gitlab.example.com)입니다.
    • 주소에는 https://가 포함되어야 합니다.
    • 슬래시로 끝나면 안 됩니다.

역할 및 신뢰 구성

ID 제공자를 생성한 후 웹 신원 역할을 구성하여 GitLab 리소스의 액세스를 제한하는 조건을 설정하세요. 임시 자격 증명은 AWS 보안 토큰 서비스를 사용하여 얻으므로 Actionsts:AssumeRoleWithWebIdentity로 설정하세요.

역할에 대한 사용자 지정 신뢰 정책을 생성하여 특정 그룹, 프로젝트, 브랜치 또는 태그로의 권한 부여를 제한할 수 있습니다. 지원되는 필터링 유형에 대한 전체 디렉터리은 클라우드 서비스에 연결를 참조하세요. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::AWS_ACCOUNT:oidc-provider/gitlab.example.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "gitlab.example.com:sub": "project_path:mygroup/myproject:ref_type:branch:ref:main"
        }
      }
    }
  ]
}

역할 생성 후 AWS 서비스(S3, EC2, Secrets Manager)에 대한 권한을 정의하는 정책을 첨부하세요.

임시 자격 증명 검색

OIDC와 역할을 구성한 후 GitLab CI/CD 작업은 AWS 보안 토큰 서비스 (STS)에서 임시 자격 증명을 검색할 수 있습니다. 

assume role:
  id_tokens:
    GITLAB_OIDC_TOKEN:
      aud: https://gitlab.example.com
  script:
    - >
      export $(printf "AWS_ACCESS_KEY_ID=%s AWS_SECRET_ACCESS_KEY=%s AWS_SESSION_TOKEN=%s"
      $(aws sts assume-role-with-web-identity
      --role-arn ${ROLE_ARN}
      --role-session-name "GitLabRunner-${CI_PROJECT_ID}-${CI_PIPELINE_ID}"
      --web-identity-token ${GITLAB_OIDC_TOKEN}
      --duration-seconds 3600
      --query 'Credentials.[AccessKeyId,SecretAccessKey,SessionToken]'
      --output text))
    - aws sts get-caller-identity
  • ROLE_ARN: 이 단계에서 정의한 역할 ARN입니다.
  • GITLAB_OIDC_TOKEN: OIDC ID 토큰.

작동 예시

문제 해결

An error occurred (AccessDenied) when calling the AssumeRoleWithWebIdentity operation: Not authorized to perform sts:AssumeRoleWithWebIdentity

이 오류는 다음과 같은 이유로 발생할 수 있습니다:

  • 클라우드 관리자가 프로젝트를 GitLab과의 OIDC 사용으로 구성하지 않았습니다.
  • 역할이 브랜치 또는 태그에서 실행이 제한됩니다. 조건부 역할 구성을 참조하세요.
  • 와일드카드 조건을 사용할 때 StringEquals 대신 StringLike가 사용되었습니다. 관련 문제는 여기를 참조하세요.

Could not connect to openid configuration of provider 오류

AWS IAM에 ID 제공자를 추가한 후 다음 오류를 받을 수 있습니다. 

Your request has a problem. Please see the following details.
  - Could not connect to openid configuration of provider: `https://gitlab.example.com`

이 오류는 OIDC ID 제공자의 발행자가 정렬되지 않은 인증서 체인을 제시하거나 중복 또는 추가 인증서를 포함할 때 발생합니다.

GitLab 인스턴스의 인증서 체인을 확인하세요. 체인은 도메인 또는 발행자 URL로 시작해야 하며, 중간 인증서로 끝나고 루트 인증서로 끝나야 합니다. 다음 명령을 사용하여 인증서 체인을 검토하세요(자신의 GitLab 호스트 이름으로 대체): 

echo | /opt/gitlab/embedded/bin/openssl s_client -connect gitlab.example.com:443

‘Couldn’t retrieve verification key from your identity provider’ 오류

유사한 오류 메시지를 받을 수 있습니다:

  • An error occurred (InvalidIdentityToken) when calling the AssumeRoleWithWebIdentity operation: Couldn't retrieve verification key from your identity provider, please reference AssumeRoleWithWebIdentity documentation for requirements

이 오류가 발생하는 이유는 다음과 같을 수 있습니다:

  • 신원 공급자(Identity Provider, IdP)의 .well_known URL 및 jwks_uri에 대해 공개 인터넷에서 액세스할 수 없는 경우
  • 사용자 정의 방화벽이 요청을 차단하는 경우
  • IdP에서 AWS STS 엔드포인트에 도달하기 위해 API 요청에 5초 이상의 지연이 있는 경우
  • STS가 .well_known URL이나 IdP의 jwks_uri로 너무 많은 요청을하는 경우

이러한 오류에 대한 AWS 지식 센터 기사에 기록된 바에 따르면, GitLab 인스턴스는 .well_known URL 및 jwks_uri를 해결할 수 있도록 공개적으로 액세스할 수 있어야 합니다. 이를 할 수 없는 경우, 예를 들어 GitLab 인스턴스가 오프라인 환경에 있는 경우 이슈 #391928를 참고하여 임시 해결책 및 더 영구적인 해결책이 조사 중인지 확인할 수 있습니다.