O Que É OIDC Token Exchange? Trocando Identidade por Acesso de Curta Duração
O OIDC token exchange permite que um pipeline de CI apresente um token de identidade assinado e receba uma credencial de nuvem de curta duração em troca, eliminando segredos armazenados.
A forma antiga de deixar um pipeline fazer deploy para a nuvem era armazenar uma chave de nuvem de longa duração como um segredo de CI, um valor que podia vazar e funcionava para sempre. O OIDC token exchange substitui isso. O provedor de CI emite um token de identidade assinado, a nuvem o verifica e confia no provedor, e devolve uma credencial de curta duração. Nenhum segredo permanente jamais troca de mãos.
O handshake
- O provedor de CI cunha um token OIDC assinado descrevendo o job.
- O pipeline o apresenta à nuvem (AWS, GCP, Azure).
- A nuvem verifica a assinatura e os claims do token.
- Ela retorna uma credencial de curta duração e escopada para aquele job.
Por que ele remove o segredo armazenado
A nuvem confia no provedor de CI como um identity provider, não em uma chave particular que você armazenou. O pipeline prova quem ele é a cada execução, então não há chave de nuvem de longa duração parada em segredos de CI para vazar. A credencial que ele recebe vive apenas pelo job.
Confiança através de claims
O token OIDC carrega claims: qual repo, qual branch, qual workflow. A trust policy da nuvem pode exigir claims específicos, para que apenas seu branch main no seu repo possa assumir um deploy role. Isso vincula o acesso exatamente ao contexto de pipeline certo.
Por que é uma grande coisa
Ele colapsa dois problemas difíceis, armazenamento de segredos e rotação de segredos, em nada. Não há segredo para armazenar e nenhum para rotacionar, porque a credencial é efêmera e baseada em identidade. É a resposta mais limpa para acesso à nuvem a partir do CI.
O token precisa vir de um runner confiável
O modelo inteiro se apoia no token de identidade ser autêntico. Ele precisa ser emitido para um job real e não adulterado, razão pela qual rodar em um ambiente de build confiável e isolado importa: um atacante que controlasse o runner poderia tentar obter tokens para jobs que não são realmente seus.
Principais conclusões
- O OIDC token exchange troca um token de identidade assinado por uma credencial de nuvem de curta duração.
- Ele remove a chave de nuvem de longa duração armazenada, então não há nada durável para vazar.
- As trust policies se baseiam em claims do token (repo, branch) para vincular o acesso ao job certo.