Identidad de Workload
¿Qué es Identidad de Workload?
Identidad de WorkloadIdentidad criptográfica asignada a un servicio, contenedor o función para autenticarse ante otros sistemas sin secretos compartidos de larga duración.
La identidad de workload es la práctica de dar a cada workload en ejecución — un pod de Kubernetes, una función serverless, una VM, un job batch — su propia credencial atestada de corta duración, en lugar de depender de claves estáticas compartidas. Implementaciones cloud-native incluyen GKE Workload Identity (service account de Kubernetes mapeada a una de Google), AWS IAM Roles for Service Accounts (IRSA) mediante federación OIDC, Azure Workload Identity e identidades basadas en SPIFFE/SPIRE. Los workloads obtienen tokens o SVIDs X.509 desde un endpoint local de confianza (IMDS, kubelet, agente) y los usan para llamar a APIs cloud, bases de datos u otros servicios. Es la base del zero trust y reduce el radio de impacto de las fugas de credenciales.
● Ejemplos
- 01
GKE Workload Identity permite a un pod llamar a Cloud Storage con su service account de Google asociada.
- 02
AWS IRSA: un pod en EKS asume un rol de IAM mediante un token OIDC proyectado.
● Preguntas frecuentes
¿Qué es Identidad de Workload?
Identidad criptográfica asignada a un servicio, contenedor o función para autenticarse ante otros sistemas sin secretos compartidos de larga duración. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Identidad de Workload?
Identidad criptográfica asignada a un servicio, contenedor o función para autenticarse ante otros sistemas sin secretos compartidos de larga duración.
¿Cómo defenderse de Identidad de Workload?
Las defensas contra Identidad de Workload combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Identidad de Workload?
Nombres alternativos comunes: Identidad de servicio, Identidad de pod.