GitHub Actions OIDC 与跨云临时凭证最小权限（2025）

GitHub Actions OIDC 与跨云临时凭证最小权限（2025）一、联邦与信任建立OIDC Provider：在云账户配置 GitHub OIDC 信任；限制受众与仓库。策略：以 `AssumeRole`/Federation 颁发短期令牌；限定权限与时效。二、最小权限与门禁策略模板：只授予需要的 API 与资源访问；分环境细分角色。门禁：在工作流中加入审批与双人复核；对高危操作设门槛。三、审计与轮换审计：记录令牌使用与资源变更；异常告警与封禁。轮换：定期轮换策略与信任；最小暴露面。四、实践与回滚部署：在 CI 中以 OIDC 获取临时凭证执行部署；失败回滚与兜底策略。安全：避免长效密钥；加固仓库与环境变量管理。注意事项关键词（OIDC、临时凭证、AssumeRole、Federation、最小权限）与正文一致。分类为“DevOps/CI/GitHub Actions”，不超过三级。配置需经安全评审与演练验证。