Вчера 1/3 от деня ми мина в дебъгване защо не ми тръгва един pipeline, който прави aws auth. Е, оказа се, че както и си мислих, съм абсолютно пълен идиот:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::xxxxxxxxxxxx:oidc-provider/token.actions.githubusercontent.com"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"token.actions.githubusercontent.com:aud": "sts.amazonaws.com"
},
"StringLike": {
"token.actions.githubusercontent.com:sub": "repo:[REDACTED]/repo-name-1:*"
}
}
}
]
}
Проблема беше, че викам от друго репо този pipeline (да речем, че се казва repo-name-2). Решението беше:
"token.actions.githubusercontent.com:sub": "repo:[REDACTED]/repo-name-*:*"
Може да бъде малко permissive, но в моя случай репото е частно плюс това са само две, които отговарят на условието – repo-name-1 и repo-name-2.
Leave a Reply