Token de cuenta de servicio (Kubernetes)
¿Qué es Token de cuenta de servicio (Kubernetes)?
Token de cuenta de servicio (Kubernetes)Credencial JWT montada en un pod de Kubernetes que autentica al workload ante el API server y otros servicios que confían en el proveedor de identidad del clúster.
Una ServiceAccount de Kubernetes representa una identidad no humana utilizada por los pods. Su token asociado es un JSON Web Token firmado que se proyecta automáticamente en el pod en /var/run/secrets/kubernetes.io/serviceaccount/token (API TokenRequest en versiones modernas) y se utiliza para llamar al API server. El token incluye claims como audience, expiration, namespace y pod. Como el token concede acceso vía RBAC, su fuga es peligrosa: con él, un atacante puede listar, modificar o destruir recursos del clúster en el alcance del role binding. Las buenas prácticas son: tokens vinculados, con audience y vida corta; desactivar el montaje automático cuando no se necesita; ajustar los role bindings al mínimo privilegio; y federar la identidad de workload a IAM en la nube (OIDC, Workload Identity, IRSA).
● Ejemplos
- 01
Un pod usa su token proyectado con audience "sts.amazonaws.com" vía IRSA para asumir un rol AWS IAM.
- 02
Un atacante que escapa de un contenedor lee el token SA y pivota al API de Kubernetes.
● Preguntas frecuentes
¿Qué es Token de cuenta de servicio (Kubernetes)?
Credencial JWT montada en un pod de Kubernetes que autentica al workload ante el API server y otros servicios que confían en el proveedor de identidad del clúster. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Token de cuenta de servicio (Kubernetes)?
Credencial JWT montada en un pod de Kubernetes que autentica al workload ante el API server y otros servicios que confían en el proveedor de identidad del clúster.
¿Cómo funciona Token de cuenta de servicio (Kubernetes)?
Una ServiceAccount de Kubernetes representa una identidad no humana utilizada por los pods. Su token asociado es un JSON Web Token firmado que se proyecta automáticamente en el pod en /var/run/secrets/kubernetes.io/serviceaccount/token (API TokenRequest en versiones modernas) y se utiliza para llamar al API server. El token incluye claims como audience, expiration, namespace y pod. Como el token concede acceso vía RBAC, su fuga es peligrosa: con él, un atacante puede listar, modificar o destruir recursos del clúster en el alcance del role binding. Las buenas prácticas son: tokens vinculados, con audience y vida corta; desactivar el montaje automático cuando no se necesita; ajustar los role bindings al mínimo privilegio; y federar la identidad de workload a IAM en la nube (OIDC, Workload Identity, IRSA).
¿Cómo defenderse de Token de cuenta de servicio (Kubernetes)?
Las defensas contra Token de cuenta de servicio (Kubernetes) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Token de cuenta de servicio (Kubernetes)?
Nombres alternativos comunes: Token de ServiceAccount, Token SA proyectado.
● Términos relacionados
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
- cloud-security№ 596
kube-bench
Herramienta open source de Aqua Security que comprueba automáticamente la configuración de un clúster Kubernetes frente al CIS Kubernetes Benchmark.
- cloud-security№ 601
Kubescape
Plataforma de seguridad open source para Kubernetes de ARMO que analiza clústeres, manifiestos e imágenes en busca de mala configuración, vulnerabilidades y desviaciones de política.
- cloud-security№ 1248
Identidad de Workload
Identidad criptográfica asignada a un servicio, contenedor o función para autenticarse ante otros sistemas sin secretos compartidos de larga duración.