#security#identity#cloud#devops#compliance
GitHub Actions OIDC Custom Properties: Trust Policy Architecture at Scale
GitHub Actions OIDC で custom properties を claim として使えるようになったことで、クラウド IAM の信頼設計を大きく改善できます。リポジトリ名の列挙ではなく、属性(環境区分、所有組織、準拠区分)でアクセス制御できるためです。
参考: https://github.blog/changelog/2026-04-02-github-actions-early-april-2026-updates/。
リポジトリ名依存の限界
従来の allowlist 方式は、規模が増えるほど壊れやすくなります。
- リポジトリ増減に追従しづらい
- 例外が蓄積して可読性が下がる
- 監査時に説明しにくい
- 過剰権限が混入しやすい
属性ベース制御の実装軸
environment_tierで環境境界を定義data_classificationでデータ機密度を反映service_ownerで責任組織単位の制御compliance_scopeで規制要件を連携
この軸を使うと、新規リポジトリ追加時に IAM 文書を大量編集する必要が減ります。
導入時の重要ポイント
- プロパティ値の許容集合を中央管理する
- claim 欠落時は fail-closed で拒否する
- 高リスク属性変更は承認必須にする
- 属性値と実運用の乖離を定期監査する
まとめ
OIDC custom properties は運用効率化機能ではなく、信頼ポリシーを意味ベースへ移行するための基盤です。早期に設計を整えるほど、将来の IAM 保守コストと監査負荷を下げられます。
