https://github.com/aws-actions/configure-aws-credentials?tab=readme-ov-file#assumerolewithwebidentity-recommended

方法はいくつもあるが、基本的に期限の短いトークンを発行する方法が推奨されている。

AWS公式のaws-actions/configure-aws-credentialsではrole-to-assumeを使う方法がベスト。

OIDCのセットアップ

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html

↑まずAWS>IAM>Access Management>Identity ProviderでOIDCのproviderを設定する。

IAM>Role>Createを行ったときにTrusted Entity TypeにWeb Identityを選択すると、プルダウンの候補に、先ほど設定した"token.actions.githubusercontent.com"が表示されるようになる。

Organizationには個人アカウント名もしくはOrganizationを指定。

https://docs.github.com/ja/actions/security-for-github-actions/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services

↑Githubの公式doc