GitHub Actions OIDC身份联合到云：短期凭证与安全发布

概览

OIDC 联合允许工作流在运行时与云 IAM 建立信任，获取短期凭证，无需存储长期密钥。

技术参数（已验证）

• AWS：通过 IAM 角色的信任策略绑定 OIDC 提供者与条件（仓库/分支），工作流请求 AssumeRoleWithWebIdentity。
• GCP：Workload Identity Pool 将 OIDC 声明映射到服务账号，颁发短期令牌。
• 安全：限制发行条件与最小权限，记录审计事件与到期。

实战清单

• 按环境与仓库维度配置信任策略；最小权限授予角色。
• 在工作流中缓存最小化并显式失效，避免泄露。