id-token: write を有効化し、権限設定の理由を明確化

yasulab · yasulab · commit 5f39c68ad0d7 · 2025-07-19T18:36:37.000+09:00
- id-token: write は Claude Code Actions に必須
    - write 権限のコメントに「id-token で昇格されるため明確化」を追加
    - id-token が権限昇格の能力を持つことを明記
    - 透明性とセキュリティ意識を両立したドキュメント化
diff --git a/.github/workflows/claude-review.yml b/.github/workflows/claude-review.yml
@@ -27,9 +27,9 @@ jobs:
     permissions:
       contents:      read  # Repository 内の権限
       actions:       read  # Actionsログへの権限
-      issues:        write # Issueコメントの権限
-      pull-requests: write # PR 内コメントの権限
-      #id-token:     write # AWS 等への外部アクセスが必要な場合のみ
+      issues:        write # Issueコメントの権限 (id-token で昇格されるため明確化)
+      pull-requests: write # PR 内コメントの権限 (id-token で昇格されるため明確化)
+      id-token:      write # Claude Code Actions の実行に必要 (昇格する権限を持つ)
 
     steps:
       - name: Checkout
