ServiceAccount-Token (Kubernetes)
Was ist ServiceAccount-Token (Kubernetes)?
ServiceAccount-Token (Kubernetes)JWT-Credential, das in einen Kubernetes-Pod gemountet wird und den Workload gegenueber dem API-Server sowie Services authentifiziert, die dem Cluster-Identity-Provider vertrauen.
Ein Kubernetes ServiceAccount repraesentiert eine nicht-menschliche Identitaet, die Pods nutzen. Das zugehoerige Token ist ein signiertes JSON Web Token, das in modernen Versionen ueber die TokenRequest-API in den Pod nach /var/run/secrets/kubernetes.io/serviceaccount/token projiziert wird und Aufrufe gegen den API-Server signiert. Es enthaelt Claims wie Audience, Expiry, Namespace und Pod. Da das Token via RBAC Zugriff gewaehrt, ist ein Leak gefaehrlich: Ein Angreifer kann Cluster-Ressourcen im Scope des Role-Bindings auflisten, aendern oder zerstoeren. Best Practice sind gebundene, audiencegescopte Kurzzeit-Tokens, deaktiviertes Automount, minimale RBAC-Bindings und Foederation der Workload-Identitaet zur Cloud-IAM via OIDC, Workload Identity oder IRSA.
● Beispiele
- 01
Pod nutzt projiziertes Token mit Audience "sts.amazonaws.com" via IRSA, um eine AWS-IAM-Rolle zu uebernehmen.
- 02
Ein Angreifer, der aus einem Container ausbricht, liest das SA-Token und pivotiert zur Kubernetes-API.
● Häufige Fragen
Was ist ServiceAccount-Token (Kubernetes)?
JWT-Credential, das in einen Kubernetes-Pod gemountet wird und den Workload gegenueber dem API-Server sowie Services authentifiziert, die dem Cluster-Identity-Provider vertrauen. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet ServiceAccount-Token (Kubernetes)?
JWT-Credential, das in einen Kubernetes-Pod gemountet wird und den Workload gegenueber dem API-Server sowie Services authentifiziert, die dem Cluster-Identity-Provider vertrauen.
Wie funktioniert ServiceAccount-Token (Kubernetes)?
Ein Kubernetes ServiceAccount repraesentiert eine nicht-menschliche Identitaet, die Pods nutzen. Das zugehoerige Token ist ein signiertes JSON Web Token, das in modernen Versionen ueber die TokenRequest-API in den Pod nach /var/run/secrets/kubernetes.io/serviceaccount/token projiziert wird und Aufrufe gegen den API-Server signiert. Es enthaelt Claims wie Audience, Expiry, Namespace und Pod. Da das Token via RBAC Zugriff gewaehrt, ist ein Leak gefaehrlich: Ein Angreifer kann Cluster-Ressourcen im Scope des Role-Bindings auflisten, aendern oder zerstoeren. Best Practice sind gebundene, audiencegescopte Kurzzeit-Tokens, deaktiviertes Automount, minimale RBAC-Bindings und Foederation der Workload-Identitaet zur Cloud-IAM via OIDC, Workload Identity oder IRSA.
Wie schützt man sich gegen ServiceAccount-Token (Kubernetes)?
Schutzmaßnahmen gegen ServiceAccount-Token (Kubernetes) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für ServiceAccount-Token (Kubernetes)?
Übliche alternative Bezeichnungen: ServiceAccount-Token, Projected SA-Token.
● Verwandte Begriffe
- cloud-security№ 600
Kubernetes-Sicherheit
Schutz eines Kubernetes-Clusters – API-Server, Control Plane, Nodes, Workloads und Netzwerk – vor Fehlkonfiguration, Kompromittierung und lateraler Bewegung.
- cloud-security№ 596
kube-bench
Open-Source-Tool von Aqua Security, das die Konfiguration eines Kubernetes-Clusters automatisiert gegen das CIS Kubernetes Benchmark prueft.
- cloud-security№ 601
Kubescape
Open-Source-Kubernetes-Security-Plattform von ARMO, die Cluster, Manifeste und Images auf Fehlkonfigurationen, Schwachstellen und Policy-Drift prueft.
- cloud-security№ 1248
Workload-Identität
Kryptografische Identität für einen Service, Container oder eine Funktion, mit der dieser sich gegenüber anderen Systemen ohne langlebige geteilte Secrets authentifiziert.