GWなので断捨離です。やったこととしては、以下の記事を参考にしつつIDプロバイダやロールを作ってworkflowを書いたぐらい。
- Configuring OpenID Connect in Amazon Web Services - GitHub Docs
- GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO
趣味プロダクトのデプロイworkflowで実験してみたらちゃんと動いた。もともと jakejarvis/s3-sync-action を使ってS3にデプロイしていたのだけど、当該actionがAssumeRoleに対応しているかどうか微妙だったので、生で aws s3 sync
コマンドを叩くようにしている。もともと薄いコマンドラッパーとして動くactionだったので、ちょっと実装を読んだら剥がすのは簡単だった。
うまく動いたので、自分のAWSアカウントにあるデプロイ用のIAMユーザーをぜんぶ消した。