# GitHub Actions OIDC 与跨云临时凭证最小权限(2025) ## 一、联邦与信任建立 - OIDC Provider:在云账户配置 GitHub OIDC 信任;限制受众与仓库。 - 策略:以 `AssumeRole`/Federation 颁发短期令牌;限定权限与时效。 ## 二、最小权限与门禁 - 策略模板:只授予需要的 API 与资源访问;分环境细分角色。 - 门禁:在工作流中加入审批与双人复核;对高危操作设门槛。 ## 三、审计与轮换 - 审计:记录令牌使用与资源变更;异常告警与封禁。 - 轮换:定期轮换策略与信任;最小暴露面。 ## 四、实践与回滚 - 部署:在 CI 中以 OIDC 获取临时凭证执行部署;失败回滚与兜底策略。 - 安全:避免长效密钥;加固仓库与环境变量管理。 ## 注意事项 - 关键词(OIDC、临时凭证、AssumeRole、Federation、最小权限)与正文一致。 - 分类为“DevOps/CI/GitHub Actions”,不超过三级。 - 配置需经安全评审与演练验证。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复