GitHub Actions OIDCトークンがリポジトリのカスタムプロパティをサポート
GitHub ActionsのOIDCトークンにリポジトリカスタムプロパティをクレームとして追加可能になり、組織レベルでクラウドプロバイダーのABACポリシーとシームレスに連携できるようになった。
キーポイント
OIDCトークンへのカスタムプロパティ付与機能
リポジトリ、組織、エンタープライズレベルで設定可能な新しいUIとAPIにより、OIDCトークンにrepo_property_プレフィックス付きでカスタムプロパティを自動的に含められる。
クラウドABACポリシーとのシームレス統合
AWS、Azure、GCPなどのクラウドプロバイダーで、個別のワークフロー変更や静的ホワイトリスト不要でリポジトリ属性に基づくアクセス制御(ABAC)ポリシーを構築可能。
ガバナンス効率化とクロスクラウド一貫性
重複排除、設定のズレ防止、新規リポジトリの自動継承により、セキュリティメタデータを一元管理し大規模組織の運用負担とリスクを大幅に軽減する。
影響分析・編集コメントを表示
影響分析
本機能は、DevOpsとクラウドセキュリティの境界を明確に統合し、プラットフォームエンジニアリングチームの運用負担を大幅に軽減する。リポジトリメタデータをクラウドIAMの制御面として活用できるため、大規模組織におけるセキュリティコンプライアンスと運用効率の両立が現実的になる。今後はAIワークロードの自動セキュリティプロビジョニングやゼロトラストアーキテクチャの実装において、標準的な基盤ツールとして普及が進むと予想される。
編集コメント
GitHubがOIDCの標準化をさらに推進し、クラウドベンダー間のIAM統合コストを下げる明確な一歩となった。今後はカスタムプロパティの構造化や検証ロジックが強化され、AIワークロードの自動セキュリティプロビジョニングの基盤となる可能性が高い。
改善版翻訳文
タイトル: Actions OIDCトークンがリポジトリカスタムプロパティをサポート
GitHub Actions OpenID Connect (OIDC) トークンが、クレームとしてリポジトリカスタムプロパティをサポートするようになりました。さらに、新しい設定ページがパブリックプレビューで利用可能になり、リポジトリ、組織、またはエンタープライズの設定から直接OIDCトークンのクレームを構成し、プロパティを追加できるようになりました。
組織およびエンタープライズの管理者は、OIDCトークンに含めるカスタムプロパティを選択できます。プロパティがクレームに追加されると、そのプロパティ値が設定されているすべてのリポジトリが、自動的にそのプロパティを repo_property_ という接頭辞付きでOIDCトークンに含めるようになります。これらのクレームを利用して、個々のワークフローを変更することなく、Azure、AWS、GCP、その他のクラウドプロバイダーで属性ベースのアクセス制御(ABAC)ポリシーを構築できます。
OIDCトークンにカスタムプロパティを導入することで、以下のことが可能になります:
重複の排除: ガバナンスメタデータを一元的に管理でき、それが自動的にクラウドポリシーに反映されます。
設定のずれの削減: ポリシーがリポジトリ属性に直接結びつくため、組織が変化してもポリシーは正確に維持されます。
オンボーディングの加速: 新しいリポジトリは、そのプロパティに基づいて適切なアクセスポリシーを自動的に継承します。
一貫性のあるクロスクラウドポリシーの作成: 既存のGitHubメタデータを、AWS、Azure、GCPなどをまたがるマネージドアイデンティティのための実用的な制御基盤に変換できます。
現在できること
- APIまたは新しい設定UIを使用して、OIDCトークンにリポジトリカスタムプロパティを追加する。
- 柔軟なポリシー適用のために、サブジェクトクレーム内でカスタムプロパティを利用する。
- リポジトリ、組織、エンタープライズレベルで提供される新しいUIから、OIDCトークンのクレーム構成を表示および管理する。
その後、このクレームをクラウドプロバイダーの信頼ポリシー内で参照し、リポジトリ属性に基づいてアクセスを制御できます。静的な許可リストやリポジトリごとのワークフロー変更は必要ありません。
詳細については、OIDCトークンのカスタマイズをご覧ください。
この投稿「Actions OIDC tokens now support repository custom properties」は、The GitHub Blog に最初に掲載されました。
原文を表示
GitHub Actions OpenID Connect (OIDC) tokens now support repository custom properties as claims. Additionally, a new settings page is available in public preview, making it easy to configure OIDC token claims directly from your repository, organization, or enterprise settings while adding properties to the claim.
Organization and enterprise admins can select custom properties to include in OIDC tokens. Once a property is added to the claim, every repository with that property value set will automatically include it in its OIDC tokens, prefixed with repo_property_. You can use these claims to build attribute-based access control (ABAC) policies in Azure, AWS, GCP, and other cloud providers without modifying individual workflows.
With custom properties in OIDC tokens, you can:
Eliminate duplication: Your governance metadata lives in one place and flows automatically into your cloud policies.
Reduce configuration drift: Policies bind directly to repository attributes, so they stay accurate as your organization evolves.
Accelerate onboarding: New repositories automatically inherit the right access policies based on their properties.
Create consistent cross-cloud policies: Turn your existing GitHub metadata into an actionable control surface for managed identities across AWS, Azure, GCP, and beyond.
What you can do today
Add repository custom properties to the OIDC token via the API or the new settings UI.
Use custom properties in the subject claim for flexible policy targeting.
View and manage OIDC token claim configuration from a new UI at the repository, organization, and enterprise level.
You can then reference this claim in your cloud provider’s trust policy to control access based on repository attributes. No static allow lists or per-repository workflow changes required.
To learn more, see Customizing the OIDC token.
The post Actions OIDC tokens now support repository custom properties appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み