.webp)
Comment interagir de manière sécurisée avec AWS depuis GitLab.
Bien qu’injecter les variables AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY via les variables GitLab soit une pratique très courante, il s’agit d’une approche sous-optimale, même en utilisant le drapeau Protected. À la place, le protocole OIDC devrait être utilisé pour construire des pipelines bien plus sécurisés. Ce tutoriel sera très concret et pratique.
Obtenir le jeton OIDC
C’est déjà bien documenté dans la documentation officielle, mais en résumé : vous pouvez demander à GitLab de générer un ou plusieurs jetons pour l’exécution d’un job. Le nom du jeton peut être librement choisi — idéalement, utilisez un nom parlant. Le champ audience doit représenter le système externe auquel le jeton est destiné. Dans ce cas, STS fait référence à AWS Secure Token Service.
Échanger le jeton OIDC
L’étape suivante consiste à échanger le jeton OIDC contre des identifiants temporaires AWS. Cela se fait via STS (Secure Token Service). La syntaxe est un peu particulière, mais l’opération reste assez simple. Une fois l’échange effectué, vous pourrez utiliser l’AWS CLI comme d’habitude.
Configuration côté AWS
La partie qui pose le plus souvent problème est la configuration côté AWS. Dans la console AWS, allez dans IAM > Fournisseurs d'identité (Identity providers) et créez-en un nouveau.
Si vous avez un doute sur l’URL à utiliser, ajoutez /.well-known/openid-configuration à la fin de l’URL — cela doit retourner un JSON. Tous les fournisseurs OIDC exposent leur configuration à ce point d’entrée. Pour GitLab, l’URL est https://gitlab.com
Notez que le champ audience est en réalité arbitraire — il suffit simplement qu’il corresponde entre GitLab et AWS, et qu’il ait une valeur significative pour vous.
Créer un rôle IAM
C’est la partie intéressante — vous pouvez maintenant créer un rôle IAM qui utilise le fournisseur d’identité que nous venons de créer comme entité de confiance.
Respectez toujours le principe du moindre privilège lors de l’ajout des permissions !
GitLab inclut une valeur sub dans le jeton OIDC qui contient des informations sur le groupe, le projet et la branche. C’est extrêmement puissant ! Cela signifie que vous pouvez créer des rôles IAM qui ne sont utilisables que lors de l’exécution depuis une branche spécifique.
Par exemple, le rôle IAM responsable du déploiement vers production devrait inclure une condition limitant son usage à la branche prod. Dans GitLab, vous pouvez ensuite appliquer des protections sur cette branche, comme l’exigence de revues de code. En combinant la granularité des rôles IAM avec les protections de branches GitLab, vous pouvez construire un pipeline DevOps à la fois très sécurisé et conforme.
Autres articles
.webp)
.webp)
.webp)
29 oct. 2024
L'IA au service de l'innovation : une nouvelle ère pour les apps mobiles et l’expérience utilisateur
L'intelligence artificielle (IA) représente une transformation numérique qui nous impacte tous. Cette technologie qui s'améliore rapidement grâce à l'analyse des données, permet non seulement de prendre des décisions informées et de réaliser des prévisions fiables, mais également de réaliser de nombreuses tâches plus rapidement.
15 oct. 2024
Valoriser la gestion de Produit : Clé du Succès en Développement Logiciel
La distinction entre gestion de produit et gestion de projet est essentielle pour garantir une productivité optimale. Il ne suffit pas de les traiter comme des concepts interchangeables ; il est crucial d’adopter une approche proactive pour placer les bonnes ressources aux bons endroits.
24 sept. 2024
Cybersécurité et applications mobiles: Opter pour la bonne méthode d’authentification
Les applications mobiles sont des outils essentiels, manipulant des données personnelles, accédant à des informations sensibles, et faisant partie de notre quotidien à tous. Cependant, à l’ère où le mot cybersécurité est sur les lèvres de tous, assurer la sécurité de ces applications et des informations qui s’y retrouvent est primordial.
.webp)
9 août 2024
Les PWAs : un moyen de tester le potentiel des apps mobiles
Dans la dernière décennie, les applications mobiles ont changé notre quotidien : ces simples outils sont devenus des facilitateurs essentiels des tâches quotidiennes et des catalyseurs des interactions professionnelles et personnelles.
18 juin 2024
Hybride vs. Natif: Faire le bon choix
Chez Thirdbridge, l'approche de développement hybride est celle de prédilection. Mais analysons plus en détail en comparant le développement hybride et natif à travers des étapes clés du développement d'applications: les coûts, la performance, la sécurité et la maintenance.
14 juin 2024
Réussir le développement de son application en 5 étapes
Le développement d’une application ne s’improvise pas. Pour réussir dans ce domaine convoité, il est essentiel d’être bien préparé. Malheureusement, une grande majorité des projets numériques d’envergure échoue faute d’une préparation adéquate.
.png)
.webp)
15 oct. 2024
Pierre-Étienne Bousquet invité du journal ‘’Les Affaires’’
Notre président et cofondateur, Pierre-Étienne Bousquet s'est entretenu avec Jean-François Venne de Les Affaires afin de discuter de l'importante croissance du numérique dans l'industrie du commerce de détail et de son impact sur les ventes en ligne, qui deviennent de plus en plus cruciales pour le chiffre d'affaires.
.png)
14 juin 2024
Recruter une équipe à l’interne ou engager une agence pour développer son application?
Lorsqu’on entreprend un projet aussi imposant et important que celui du développement d’une application, un dilemme crucial surgit rapidement: choisir entre une agence spécialisée ou recruter sa propre équipe à l’interne pour accomplir le travail. Une chose est certaine, c’est que les deux options présentent des avantages et des contraintes distincts.
22 mai 2024
Optimiser la synergie avec votre partenaire de développement logiciel
L’univers du numérique, et d’autant plus celui du développement de solutions numériques sur mesure, ne cesse d’évoluer — entre les avancées technologiques rapides et les besoins changeants des consommateurs, il est bien difficile de prédire de quoi l’avenir sera fait pour les acteurs du Web.
.png)
.webp)
.webp)
31 mars 2025
Notes & avis : Leur impact sur le succès d'une application
Le succès d’une application ne repose pas uniquement sur des pratiques d'ingénierie minutieuses ou des designs flamboyants. Il faut s'assurer de livrer un produit à la fois performant, accessible, utile et simplifié, accompagné d'une stratégie de mise en marché (GTM) propre à l'écosystème des produits numériques.
.webp)
30 mai 2024
Avez-vous vraiment besoin d’une application?
Ne froncez pas les sourcils! Ceci est une vraie bonne question. Il suffit d’observer les gens dans le métro, par exemple, ou encore dans une salle d’attente : tout le monde ou presque a un téléphone à la main, pour lire, texter, jouer, obtenir un renseignement, rencontrer l’âme sœur, commander à manger ou magasiner…
.png)
3 mai 2024
Des infrastructures simplifiées pour plus de vélocité
Chez Thirdbridge, nous sommes convaincus que les équipes orientées projet livrent des résultats de qualité supérieure, et ce, plus rapidement. Étant donné qu’elles sont responsables de l’intégralité du flux de création de valeur, ces équipes peuvent augmenter leur vélocité en éliminant elles-mêmes les goulots d’étranglement. De plus, accorder la responsabilité du flux de bout en bout à nos équipes de développeurs rend leur travail encore plus engageant et motivant.
.jpg)