解决aws-actions/configure-aws-credentials中的OIDC令牌受众错误问题

在使用aws-actions/configure-aws-credentials这个GitHub Action配置AWS凭证时，许多开发者会遇到一个常见的错误："Incorrect token audience"。这个问题通常出现在使用OIDC（OpenID Connect）方式配置AWS凭证的场景中。

问题背景

当我们在GitHub Actions工作流中尝试通过OIDC方式获取AWS临时凭证时，需要在AWS IAM中配置一个信任关系，允许GitHub Actions的身份提供者(token.actions.githubusercontent.com)来担任IAM角色。这个过程中，AWS会验证JWT令牌中的"aud"（受众）声明是否与IAM角色信任策略中配置的值匹配。

错误原因分析

从问题描述中可以看到，开发者在IAM角色的信任策略中配置了：

"token.actions.githubusercontent.com:aud": "sts.amazonws.com"

而实际上，正确的受众值应该是"sts.amazonaws.com"。这个细微的拼写差异（缺少了"a"）导致了验证失败。AWS STS服务的正确域名是"sts.amazonaws.com"，而不是"sts.amazonws.com"。

解决方案

要解决这个问题，需要修改IAM角色的信任策略，将受众值更正为：

"token.actions.githubusercontent.com:aud": "sts.amazonaws.com"

完整的信任策略应该如下所示：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::123456789012:oidc-provider/token.actions.githubusercontent.com"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "token.actions.githubusercontent.com:sub": "repo:your-org/your-repo:ref:refs/heads/your-branch",
                    "token.actions.githubusercontent.com:aud": "sts.amazonaws.com"
                }
            }
        }
    ]
}

验证步骤

1. 确保GitHub Actions工作流中正确配置了OIDC权限：

permissions:
  id-token: write
  contents: read

2. 检查AWS IAM中的身份提供商配置，确认其URL为"https://token.actions.githubusercontent.com"，并且受众设置为"sts.amazonaws.com"。

3. 验证IAM角色的信任策略，确保其中的"aud"声明与身份提供商的配置一致。

最佳实践

1. 始终使用AWS官方文档中指定的服务端点（如sts.amazonaws.com）。
2. 在配置信任策略时，仔细检查所有字符串值，特别是域名部分。
3. 可以使用GitHub提供的actions-oidc-debugger工具来检查JWT令牌的实际内容，帮助调试问题。
4. 在生产环境部署前，先在测试环境中验证配置。

通过以上步骤，大多数"Invalid token audience"错误都可以得到解决。如果问题仍然存在，建议检查AWS CloudTrail日志获取更详细的错误信息。