O Que É OIDC no GitHub Actions?
O OIDC permite que um workflow comprove sua identidade a um provedor de nuvem com um token de curta duração, para que você não armazene credenciais de longa duração.
Armazenar chaves estáticas de nuvem como secrets é arriscado. Com o OpenID Connect (OIDC), o GitHub emite um token de identidade assinado por execução no qual sua nuvem confia, trocando-o por credenciais temporárias sem nenhum secret armazenado.
O que é
O OIDC é um padrão para identidade federada. O GitHub atua como provedor de identidade, gerando um JWT que descreve a execução; sua nuvem o verifica e concede acesso de curta duração.
permissions:
id-token: write
contents: read
steps:
- uses: aws-actions/configure-aws-credentials@v4
with:
role-to-assume: arn:aws:iam::123:role/ci
aws-region: us-east-1Como funciona
Você concede ao job id-token: write, configura uma relação de confiança na nuvem baseada em claims como repositório e branch, e o workflow troca seu token OIDC por credenciais temporárias.
Por que supera as chaves armazenadas
- Nenhum secret de longa duração para vazar ou rotacionar.
- O acesso é restrito a repositórios, branches ou environments específicos.
- As credenciais expiram automaticamente quando o job termina.
Por que importa
O OIDC é a forma moderna e recomendada de autenticar workflows na AWS, GCP, Azure e outros. Ele elimina toda uma classe de risco de vazamento de secrets dos seus pipelines.
Conceitos relacionados
O OIDC exige a permissão id-token e é uma alternativa a armazenar chaves de nuvem como secrets; combina bem com environments para uma restrição rígida de confiança.
Principais conclusões
- O OIDC fornece aos workflows um token de identidade de curta duração.
- Ele substitui chaves de nuvem armazenadas por confiança federada.
- Conceda
id-token: writee restrinja a confiança por claims.