TL; DR

azure/docker-loginなど docker login系の Action ではなくaz acr loginコマンドでログインする。

name: Run Login to ACR w/ OpenID Connect

on:workflow_dispatch:permissions:id-token: write
  contents: read

jobs:ACRJob:runs-on: ubuntu-18.04

    steps:- uses: actions/checkout@main
      - uses: azure/login@v1
        with:client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }} 

      - name: docker login, build and push
        run: |
          az acr login -n ${{ secrets.ACR }}  # <--- **これ**
          docker build ./target -t ${{ secrets.ACR }}.azurecr.io/${{ env.IMAGE_NAME }}:${{ github.run_number }}
          docker push ${{ secrets.ACR }}.azurecr.io/${{ env.IMAGE_NAME }}:${{ github.run_number }}
        env:IMAGE_NAME: minimalserver

あ、Azure AD アプリケーションに AcrPullのロールを割り当てることを忘れずに。

以下、背景的な何か

GitHub Actions が OpenID Connect に対応してた

もう半年近く前、GitHub Actions が OpenID Connect に対応していた。
これで azure/loginのアクションも資格情報として Azure AD アプリケーションの clientSecret を使わなくて済むようになった。

詳細はここに全て書いてある。

blog.haniyama.com

ただし Azure Container Regisitry & GitHub Actions のドキュメントを見ると、azure/docker-loginで昔ながら？の clientSecret を使って ACR にログインする方法で書かれている。

ここと、

ここ。

できることなら clientSecret はあまり管理したくないので、何とか OIDC の仕組みを使って、GitHub Actions 内で clientSecret を使わない方法がないかにチャレンジ。

(おさらい) ACR にログインする

ACR は Docker の API（でいいの？）と互換性を持っているので、

docker login -u <ユーザー名> -p <パスワード> <ACR ログイン サーバー>

でログインできる。<ユーザー名> / パスワードは、

1. Azure AD アプリケーションの場合は、
   • ユーザー名: アプリケーション ID (ClientID)
   • パスワード: clientSecret
2. ACR の管理者ユーザーを有効にした場合は、
   • ユーザー名: ACR リソース名
   • パスワード: [アクセス キー] ブレード内の password or password2
     

のどちらかのペアを使うことになる。

今回は、OIDC を使って azure/loginアクションで取得した認証情報を、ここのユーザー名／パスワードとして使う方法がないか調べたら、そこまでしなくていい方法がここに書いてあった。

github.com

曰く、

az acr login -n <ACR リソース名>

を使えばいい、と。

これを実行すると、

• ユーザ名は null GUID 00000000-0000-0000-0000-000000000000
• パスワードは、azure/loginからの認証情報を元に（なんやかんやで）取得してきた ACR の refresh token

を使って docker loginを実行してくれるらしい。
azure/docker-loginアクションすら必要ないので、冒頭の yamlになる。

サンプル リポジトリー。

github.com

ちなみに azure/docker-loginがやっていること

azure/docker-loginが withで与えられた clientSecret などを使って何しているか見てみると、

github.com

なんと直接 config.jsonに認証情報を追記している。docker loginすら実行していないとは。