GWなので断捨離です。やったこととしては、以下の記事を参考にしつつIDプロバイダやロールを作ってworkflowを書いたぐらい。

• Configuring OpenID Connect in Amazon Web Services - GitHub Docs
• GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO

趣味プロダクトのデプロイworkflowで実験してみたらちゃんと動いた。もともと jakejarvis/s3-sync-action を使ってS3にデプロイしていたのだけど、当該actionがAssumeRoleに対応しているかどうか微妙だったので、生で aws s3 sync コマンドを叩くようにしている。もともと薄いコマンドラッパーとして動くactionだったので、ちょっと実装を読んだら剥がすのは簡単だった。

うまく動いたので、自分のAWSアカウントにあるデプロイ用のIAMユーザーをぜんぶ消した。