Принятие ролей IAM между аккаунтами AWS: правильный способ (с рабочим кодом Terraform) IAM role assumption across AWS accounts: the right way (with working Terraform)

Статья описывает безопасный паттерн для доступа к ресурсам AWS из CI/CD-пайплайнов без использования долгоживущих ключей доступа. Вместо хранения секретов предлагается использовать OIDC-провайдер GitHub Actions для получения временных токенов и цепочку ролей для доступа к целевым аккаунтам. Этот подход значительно повышает безопасность за счёт автоматической ротации учётных данных и полной аудируемости через CloudTrail. Для индустрии это означает переход к более безопасным и управляемым практикам развёртывания в облаке, особенно критичным для fintech и SaaS-компаний.

The article presents a secure pattern for accessing AWS resources from CI/CD pipelines without using long-lived access keys. It advocates for using a GitHub Actions OIDC provider to obtain short-lived tokens and role chaining to access target accounts, instead of storing static credentials. This approach greatly improves security through automatic credential rotation and full auditability via CloudTrail. For the industry, it represents a shift towards more secure and manageable cloud deployment practices, particularly crucial for fintech and SaaS companies.