GitHub Actions OIDC联邦云部署：临时凭证与权限最小化

GitHub Actions OIDC联邦云部署：临时凭证与权限最小化概览使用工作流身份与云端 OIDC 信任关系签发短期令牌，避免在仓库中保存长期密钥。以条件约束与角色权限控制访问范围与时间窗口。技术参数（已验证）信任配置：在云端设置 OIDC 提供者与受众（audience）；基于 `sub`/`repository`/`ref` 条件限制。凭证签发：通过 STS/AssumeRole 获取短期凭证；为部署任务设置最小权限策略。审计与撤销：记录令牌使用与资源访问；在异常时撤销或缩短有效期。安全基线：绑定环境、分支与标签；防止越权工作流获取高权限令牌。兼容落地：支持多云实现；在管道中进行权限预检与失败处理。实战清单按环境定义角色与最小策略；在工作流中仅请求必要权限。建立审计看板与告警；对失败与异常访问进行隔离与调查。定期回顾信任关系与条件；在发布流程中进行权限回归测试。