![](/img/trans.png)
[英]Secrets doesnt pass from github action secrets to reusable workflow in github actions
[英]Internal reusable GitHub workflow - using secrets in repository where workflow is
我正在构建一个 GitHub 可重用工作流,作为 CI/CD 管道,供其他存储库在我们的 GitHub 组织中使用。 现在,被调用者存储库需要传递服务主体凭据,可重用工作流将使用这些凭据登录到 azure、检索其他机密等。我想知道是否有任何可能的方法可以让属于存储库的机密当另一个工作流(比如 repo B)调用可重用工作流时,可以访问可重用工作流生命(比如 repo A),因此它们不需要在调用工作流之前传递服务主体凭据或使用 Azure/login 操作。 这将使其变得更加容易,因此团队无需创建新的服务主体并配置对我们的密钥保管库的权限即可使用可重用工作流。 相反,只会使用一个服务主体(在 repo A 中存储为机密的凭据)。
我知道这对于组织机密是可能的,但我们希望确保该组织机密只能在可重用工作流的上下文中使用,而不能被其他工作流使用。 基本上,我们需要一种方法让我们的 GitHub 组织中想要使用可重用工作流的每个存储库都可以使用服务主体信用,但只能在可重用工作流的上下文中使用。 我一直在研究使用带有 Azure 登录的 OIDC,但由于它仅限于特定的存储库,因此当工作流在存储库 B 中运行时,如果我们将其范围限定为存储库 A,我认为它不会起作用。
我使用OpenID Connect和 Azure/login 操作找到了解决此问题的方法。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.