GitHub Actions可以使用AWS Role来访问AWS资源，不需要在Workflow文件中配置AWS密钥。但是，当您需要使用多个AWS角色时（例如，在不同的AWS帐户中访问不同的资源），AWS Role切换会变得复杂。本文将介绍如何在GitHub Actions中实现AWS Role切换，并提供包含代码示例的解决方法。

1.配置AWS角色 Assume Role

首先，为每个需要访问的AWS资源创建一个AWS角色，并使用AWS Identity and Access Management（IAM）服务配置AssumeRole策略，允许GitHub Actions访问该角色。然后，将角色的ARN添加到GitHub Actions secrets中。

2.在GitHub Actions中进行AWS角色切换

在Workflow文件中，定义一个名为sts-assume-role的Action，用于在GitHub Actions中实现AWS Role切换。将以下代码添加到Workflow文件中的jobs部分：

jobs: build: runs-on: ubuntu-latest steps: - name: Checkout uses: actions/[email protected] - name: Checkout aws-sts-assume-role Action uses: aws-actions/[email protected] - name: Assume Role uses: ./aws-sts-assume-role # Replace with the relative path to the checkout path containing the modified action id: assume-role with: role-to-assume: ${{ secrets.AWS_ROLE_TO_ASSUME }} role-session-name: ${{ github.run_id }} aws-region: us-east-2 - name: List S3 buckets run: | aws s3 ls

上述代码将使用aws-sts-assume-role Action从GitHub Secrets中获取要切换的AWS角色，并使用aws-cli在GitHub Actions中访问AWS资源。

3.创建sts-assume-role Action

在GitHub Actions存储库中，创建sts-assume-role Action，此Action将获取AssumeRole策略并返回临时访问凭据。将以下代码添加到步骤的aws-sts-assume