Nåværende deploy-oppsett bruker IAM user og ikke-utløpende credentials lagret som secrets.
Med disse endringene bruker vi IAM role og GitHubs OIDC provider, som er anbefalt måte å deploye på.
AWS dev og prod:
Opprettet IAM identity provider
Opprettet IAM role github-actions-deploy-role med trust relationship som whitelister main-branchen i dette repoet
GitHub:
Lagt til secrets DEV_AWS_DEPLOY_ROLE og PROD_AWS_DEPLOY_ROLE med ARN til IAM-rollen som verdi.
MÅ ikke være secrets pga. nåværende trust relationship, men sikkert greit å være på den sikre siden.
Deploy-workflow bruker ARN til IAM role for å deploye
Nåværende deploy-oppsett bruker IAM user og ikke-utløpende credentials lagret som secrets. Med disse endringene bruker vi IAM role og GitHubs OIDC provider, som er anbefalt måte å deploye på.
AWS dev og prod:
github-actions-deploy-role
med trust relationship som whitelister main-branchen i dette repoetGitHub:
DEV_AWS_DEPLOY_ROLE
ogPROD_AWS_DEPLOY_ROLE
med ARN til IAM-rollen som verdi. MÅ ikke være secrets pga. nåværende trust relationship, men sikkert greit å være på den sikre siden.https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services
closes #190