---

title: GitHub Actions OIDC联邦云部署：临时凭证与权限最小化

keywords:

• OIDC
• GitHub Actions
• STS
• 最小权限
• 短期凭证

description: 通过 OIDC 联邦在云端签发短期凭证，替代长期密钥，构建最小权限与可审计的部署流程。

categories:

• 应用软件
• 编程开发

---

GitHub Actions OIDC联邦云部署：临时凭证与权限最小化

概览

• 使用工作流身份与云端 OIDC 信任关系签发短期令牌，避免在仓库中保存长期密钥。
• 以条件约束与角色权限控制访问范围与时间窗口。

技术参数（已验证）

• 信任配置：在云端设置 OIDC 提供者与受众（audience）；基于 sub/repository/ref 条件限制。
• 凭证签发：通过 STS/AssumeRole 获取短期凭证；为部署任务设置最小权限策略。
• 审计与撤销：记录令牌使用与资源访问；在异常时撤销或缩短有效期。
• 安全基线：绑定环境、分支与标签；防止越权工作流获取高权限令牌。
• 兼容落地：支持多云实现；在管道中进行权限预检与失败处理。

实战清单

• 按环境定义角色与最小策略；在工作流中仅请求必要权限。
• 建立审计看板与告警；对失败与异常访问进行隔离与调查。
• 定期回顾信任关系与条件；在发布流程中进行权限回归测试。