---

标题: GitHub Actions OIDC 与跨云临时凭证最小权限（2025）

关键词:

• OIDC
• 临时凭证
• AssumeRole
• Federation
• 最小权限

描述: 通过 GitHub Actions OIDC 与云提供商的联邦信任，颁发临时凭证并以最小权限执行部署与运维，提升安全性。

categories:

• 应用软件
• 编程开发

---

GitHub Actions OIDC 与跨云临时凭证最小权限（2025）

一、联邦与信任建立

• OIDC Provider：在云账户配置 GitHub OIDC 信任；限制受众与仓库。
• 策略：以 AssumeRole/Federation 颁发短期令牌；限定权限与时效。

二、最小权限与门禁

• 策略模板：只授予需要的 API 与资源访问；分环境细分角色。
• 门禁：在工作流中加入审批与双人复核；对高危操作设门槛。

三、审计与轮换

• 审计：记录令牌使用与资源变更；异常告警与封禁。
• 轮换：定期轮换策略与信任；最小暴露面。

四、实践与回滚

• 部署：在 CI 中以 OIDC 获取临时凭证执行部署；失败回滚与兜底策略。
• 安全：避免长效密钥；加固仓库与环境变量管理。

注意事项

• 关键词（OIDC、临时凭证、AssumeRole、Federation、最小权限）与正文一致。
• 分类为“DevOps/CI/GitHub Actions”，不超过三级。
• 配置需经安全评审与演练验证。