---

title: GitHub Actions OIDC身份联合到云：短期凭证与安全发布

keywords:

• OIDC
• Federation
• AWS IAM
• GCP Workload Identity
• 短期凭证

description: 在 CI/CD 中使用 OIDC 身份联合获取短期云凭证，替代长期密钥，提升发布安全与可审计性。

categories:

• 文章资讯
• 科技资讯

---

GitHub Actions OIDC身份联合到云：短期凭证与安全发布

概览

OIDC 联合允许工作流在运行时与云 IAM 建立信任，获取短期凭证，无需存储长期密钥。

技术参数（已验证）

• AWS：通过 IAM 角色的信任策略绑定 OIDC 提供者与条件（仓库/分支），工作流请求 AssumeRoleWithWebIdentity。
• GCP：Workload Identity Pool 将 OIDC 声明映射到服务账号，颁发短期令牌。
• 安全：限制发行条件与最小权限，记录审计事件与到期。

实战清单

• 按环境与仓库维度配置信任策略；最小权限授予角色。
• 在工作流中缓存最小化并显式失效，避免泄露。