Skip to content
Latchkey

O Que É OIDC Token Exchange? Trocando Identidade por Acesso de Curta Duração

O OIDC token exchange permite que um pipeline de CI apresente um token de identidade assinado e receba uma credencial de nuvem de curta duração em troca, eliminando segredos armazenados.

A forma antiga de deixar um pipeline fazer deploy para a nuvem era armazenar uma chave de nuvem de longa duração como um segredo de CI, um valor que podia vazar e funcionava para sempre. O OIDC token exchange substitui isso. O provedor de CI emite um token de identidade assinado, a nuvem o verifica e confia no provedor, e devolve uma credencial de curta duração. Nenhum segredo permanente jamais troca de mãos.

O handshake

  • O provedor de CI cunha um token OIDC assinado descrevendo o job.
  • O pipeline o apresenta à nuvem (AWS, GCP, Azure).
  • A nuvem verifica a assinatura e os claims do token.
  • Ela retorna uma credencial de curta duração e escopada para aquele job.

Por que ele remove o segredo armazenado

A nuvem confia no provedor de CI como um identity provider, não em uma chave particular que você armazenou. O pipeline prova quem ele é a cada execução, então não há chave de nuvem de longa duração parada em segredos de CI para vazar. A credencial que ele recebe vive apenas pelo job.

Confiança através de claims

O token OIDC carrega claims: qual repo, qual branch, qual workflow. A trust policy da nuvem pode exigir claims específicos, para que apenas seu branch main no seu repo possa assumir um deploy role. Isso vincula o acesso exatamente ao contexto de pipeline certo.

Por que é uma grande coisa

Ele colapsa dois problemas difíceis, armazenamento de segredos e rotação de segredos, em nada. Não há segredo para armazenar e nenhum para rotacionar, porque a credencial é efêmera e baseada em identidade. É a resposta mais limpa para acesso à nuvem a partir do CI.

O token precisa vir de um runner confiável

O modelo inteiro se apoia no token de identidade ser autêntico. Ele precisa ser emitido para um job real e não adulterado, razão pela qual rodar em um ambiente de build confiável e isolado importa: um atacante que controlasse o runner poderia tentar obter tokens para jobs que não são realmente seus.

Principais conclusões

  • O OIDC token exchange troca um token de identidade assinado por uma credencial de nuvem de curta duração.
  • Ele remove a chave de nuvem de longa duração armazenada, então não há nada durável para vazar.
  • As trust policies se baseiam em claims do token (repo, branch) para vincular o acesso ao job certo.

Guias relacionados