labadmin/proyectosacc-mirror
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
2f4a563f9ee78c51d1238eadc260c4023f6b8b71
proyectosacc-mirror/terraform/oidc-bitbucket.tf
T
Evert Daniel Romero Garrido 2f4a563f9e fix(terraform): corregir OIDC audience para Bitbucket Cloud 
Bitbucket Cloud genera tokens JWT con audience fijo:
ari:cloud:bitbucket::workspace/465016f8-d6fb-4ecb-ba6f-2248e938942b

El archivo oidc-bitbucket.tf solo aceptaba sts.amazonaws.com,
lo que causaba InvalidIdentityToken en cada terraform apply.
Ahora el OIDC provider y el rol IAM aceptan ambos audiences
mediante ForAnyValue:StringEquals.
2026-04-16 21:54:55 +00:00

124 lines
5.1 KiB
Terraform
Raw Blame History

# ===============================================================================================================
# oidc-bitbucket.tf - Configuración OIDC entre Bitbucket Pipelines y AWS
# Descripción:
# Crea el IAM OIDC Provider para Bitbucket y el rol IAM que el pipeline
# asumirá mediante Web Identity Federation (AssumeRoleWithWebIdentity).
#
# IMPORTANTE (Bootstrap):
# Este archivo debe aplicarse MANUALMENTE la primera vez por un
# administrador con credenciales AWS válidas. Una vez creados el
# OIDC provider y el rol, el pipeline puede autenticarse solo.
# ===============================================================================================================
locals {
bitbucket_workspace = "ccsoft1"
bitbucket_oidc_url = "https://api.bitbucket.org/2.0/workspaces/${local.bitbucket_workspace}/pipelines-config/identity/oidc"
# UUID del workspace de Bitbucket Cloud para el audience fijo del OIDC.
bitbucket_workspace_uuid = "465016f8-d6fb-4ecb-ba6f-2248e938942b"
# ------------------------------------------------------------------
# REPO_UUID de proyectosacc
# ------------------------------------------------------------------
# Obtener en Bitbucket: Repository settings > OpenID Connect > Repository UUID
# Ejemplo real: "{1de489be-ce6a-42a0-a8c8-eadbf1174ac7}"
#
# NOTA DE SEGURIDAD:
# Si aún no conoces el UUID exacto, puedes dejar "*" temporalmente
# para permitir cualquier repo del workspace. Esto es MENOS SEGURO
# y solo debe usarse durante las pruebas iniciales. En producción,
# reemplázalo por el UUID exacto del repo ccsoft1/proyectosacc.
# ------------------------------------------------------------------
bitbucket_repo_uuid = "{3ceb5bec-0805-4bfb-b891-aaf5626ad7a5}"
}
# Obtener el thumbprint del certificado TLS del issuer OIDC
data "tls_certificate" "bitbucket_oidc" {
url = local.bitbucket_oidc_url
}
# -------------------------------------------------------------------------------
# OIDC Provider para Bitbucket Pipelines
# -------------------------------------------------------------------------------
resource "aws_iam_openid_connect_provider" "bitbucket" {
url = local.bitbucket_oidc_url
# Bitbucket Cloud usa "ari:cloud:bitbucket::workspace/{uuid}" como audience
# fijo en los tokens JWT. Mantenemos "sts.amazonaws.com" por compatibilidad
# con pipelines que aún lo configuren manualmente.
client_id_list = [
"sts.amazonaws.com",
"ari:cloud:bitbucket::workspace/${local.bitbucket_workspace_uuid}"
]
thumbprint_list = [
data.tls_certificate.bitbucket_oidc.certificates[0].sha1_fingerprint
]
tags = {
Name = "bitbucket-pipelines-oidc"
Project = var.project_name
ManagedBy = "terraform"
Environment = var.environment
}
}
# -------------------------------------------------------------------------------
# Rol IAM para CI/CD desde Bitbucket Pipelines
# -------------------------------------------------------------------------------
resource "aws_iam_role" "bitbucket_ci_cd" {
name = "BitbucketProyectosaccCICDRole${title(var.environment)}"
assume_role_policy = jsonencode({
Version = "2012-10-17"
Statement = [
{
Effect = "Allow"
Principal = {
Federated = aws_iam_openid_connect_provider.bitbucket.arn
}
Action = "sts:AssumeRoleWithWebIdentity"
Condition = {
ForAnyValue:StringEquals = {
"${trimprefix(local.bitbucket_oidc_url, "https://")}:aud" = [
"sts.amazonaws.com",
"ari:cloud:bitbucket::workspace/${local.bitbucket_workspace_uuid}"
]
}
StringLike = {
"${trimprefix(local.bitbucket_oidc_url, "https://")}:sub" = "${local.bitbucket_repo_uuid}:*"
}
}
}
]
})
tags = {
Name = "bitbucket-ci-cd-role-${var.environment}"
Project = var.project_name
Environment = var.environment
ManagedBy = "terraform"
}
}
# -------------------------------------------------------------------------------
# Política de permisos: AdministratorAccess (punto de partida)
# -------------------------------------------------------------------------------
# TODO: Reemplazar AdministratorAccess por una política custom con
# mínimo privilegio. Ver docs/iam-policy-ci-cd-proyectosacc.json como
# base para construir la política restrictiva.
# -------------------------------------------------------------------------------
resource "aws_iam_role_policy_attachment" "bitbucket_ci_cd_admin" {
role = aws_iam_role.bitbucket_ci_cd.name
policy_arn = "arn:aws:iam::aws:policy/AdministratorAccess"
}
# -------------------------------------------------------------------------------
# Política mínima alternativa (descomentar cuando esté lista)
# -------------------------------------------------------------------------------
# resource "aws_iam_role_policy" "bitbucket_ci_cd_minimal" {
# name = "${var.project_name}-bitbucket-ci-cd-minimal-${var.environment}"
# role = aws_iam_role.bitbucket_ci_cd.id
#
# policy = file("${path.module}/../docs/iam-policy-ci-cd-proyectosacc.json")
# }
Reference in New Issue View Git Blame Copy Permalink