AWSのiam roleの権限を委譲するときにOIDCを使って接続するのはGitHubなどでは何回も設定したことがあるが、thumbprintは必須だと思っていた。けど今日調べたら随分前に必須ではなくなったようだ。

AWS Identity and Access Management により OpenID Connect ID プロバイダーの管理が簡素化 - AWS

そのことはterraformのドキュメントにも書いてある。

aws_iam_openid_connect_provider Terraform Registry

このterraformのドキュメントに書いてあることがやや注意が必要だ。

Auth0, GitHubなどのメジャーどころはルートCAを信頼しているのでthumbprintは完全に不要であっても使われることはない。

しかしその他のマイナーな?IdPだとthumbprintが未指定であればCA証明書をみにいくが、すでに設定済みで後に削除した場合には最初に設定した値を使い続けようとするとのこと。

However, if a thumbprint_list is initially configured and later removed, Terraform does not prompt IAM to retrieve a thumbprint the same way. Instead, it continues using the original thumbprint list from the initial configuration. This differs from the behavior when creating an aws_iam_openid_connect_provider without a thumbprint_list.

GitHub, Googleなどメジャーどころしか使ってないがそういうこともあるくらいに頭の片隅においておく。