GitHub Secrets 設定ガイド
GitHub Actions ワークフローで必要な GitHub Secrets の設定方法を説明します。
TL;DR(まずはここだけ)
- 必須:
AZURE_CLIENT_ID,AZURE_TENANT_ID,AZURE_SUBSCRIPTION_ID,GX_SHARED_PRIVATE_KEY - 任意:
AZURE_CLIENT_SECRET(Client Secret 認証を使う場合のみ)
参考: これらは再利用ワークフロー
org-deploy.yml/org-env-apply.ymlが参照します。
必要な GitHub Secrets 一覧
1. Azure 認証(必須)
OIDC(推奨)または Client Secret のどちらかで認証します。
| Secret 名 | 用途 | 備考 |
|---|---|---|
AZURE_CLIENT_ID | Azure AD アプリの Client ID | 必須 |
AZURE_TENANT_ID | Azure Tenant ID | 必須 |
AZURE_SUBSCRIPTION_ID | Azure Subscription ID | 必須 |
AZURE_CLIENT_SECRET | Client Secret 認証用 | 任意(OIDC なら不要) |
OIDC を使う場合は、GitHub → Azure 側に Federated Credentials を設定します。Client Secret は不要です。
2. 環境変数の暗号化キー(必須)
ワークフロー内で .env の暗号化/復号に使用します。GX_SHARED_PRIVATE_KEY(16 進数形式)を設定してください。
以前の
DOTENV_PRIVATE_KEY_*(環境別キー)運用は不要です。共有鍵GX_SHARED_PRIVATE_KEYに統一してください。
Secrets の設定手順
- GitHub リポジトリの Settings を開く
- Secrets and variables → Actions を選択
- New repository secret をクリック
- 上記の Secret 名と値を登録
チェックリスト(推奨)
-
AZURE_CLIENT_ID -
AZURE_TENANT_ID -
AZURE_SUBSCRIPTION_ID -
GX_SHARED_PRIVATE_KEY - (必要な場合のみ)
AZURE_CLIENT_SECRET
注意事項
- 値の形式: 余計なクォートは含めず、値のみを設定してください。
- 権限:
AZURE_CLIENT_IDに紐づくアプリには必要な Azure RBAC 権限を付与してください。 - セキュリティ: Secrets は Organization レベルでの一括管理(
secrets: inherit)も推奨です。
参考
- 再利用ワークフローの定義(どの Secrets を参照するか):
.github/workflows/org-deploy.yml - CI/CD 連携の全体像: インフラ設定駆動型 CI/CD