Skip to content
Latchkey

O Que É OIDC no GitHub Actions?

O OIDC permite que um workflow comprove sua identidade a um provedor de nuvem com um token de curta duração, para que você não armazene credenciais de longa duração.

Armazenar chaves estáticas de nuvem como secrets é arriscado. Com o OpenID Connect (OIDC), o GitHub emite um token de identidade assinado por execução no qual sua nuvem confia, trocando-o por credenciais temporárias sem nenhum secret armazenado.

O que é

O OIDC é um padrão para identidade federada. O GitHub atua como provedor de identidade, gerando um JWT que descreve a execução; sua nuvem o verifica e concede acesso de curta duração.

OIDC cloud auth
permissions:
  id-token: write
  contents: read
steps:
  - uses: aws-actions/configure-aws-credentials@v4
    with:
      role-to-assume: arn:aws:iam::123:role/ci
      aws-region: us-east-1

Como funciona

Você concede ao job id-token: write, configura uma relação de confiança na nuvem baseada em claims como repositório e branch, e o workflow troca seu token OIDC por credenciais temporárias.

Por que supera as chaves armazenadas

  • Nenhum secret de longa duração para vazar ou rotacionar.
  • O acesso é restrito a repositórios, branches ou environments específicos.
  • As credenciais expiram automaticamente quando o job termina.

Por que importa

O OIDC é a forma moderna e recomendada de autenticar workflows na AWS, GCP, Azure e outros. Ele elimina toda uma classe de risco de vazamento de secrets dos seus pipelines.

Conceitos relacionados

O OIDC exige a permissão id-token e é uma alternativa a armazenar chaves de nuvem como secrets; combina bem com environments para uma restrição rígida de confiança.

Principais conclusões

  • O OIDC fornece aos workflows um token de identidade de curta duração.
  • Ele substitui chaves de nuvem armazenadas por confiança federada.
  • Conceda id-token: write e restrinja a confiança por claims.

Guias relacionados