サービスアカウント
サービスアカウント とは何ですか?
サービスアカウントアプリケーション・スクリプト・サービスが他のシステムに認証するために用いる非人間アイデンティティで、通常は対話的ログインを行わない。
サービスアカウントは人ではなくワークロードを表します。バックアップジョブ、Kubernetes Pod、SaaS コネクタなど、データベース・API・メッセージキュー・OS サービスを呼び出すバックエンドプロセスのためにプロビジョニングされます。サービスアカウントはパスワード・API キー・証明書などの長寿命シークレットを保持し、広い権限を持つことが多いため、運用が雑だと横展開の格好の標的になります。ベストプラクティスは、ヴォルトによる集中管理、自動ローテーション、最小権限に基づくスコープ制限、クラウドのワークロード ID 連携(短命な資格情報)、監査ログ、長期キーを OIDC や mTLS ベースの認証へ置き換えることです。
● 例
- 01
Kubernetes ServiceAccount を使い、Pod が限定された RBAC 権限でクラスタ API を呼び出す。
- 02
Azure マネージド ID により、VM がシークレットを保存せずに Key Vault を読み取る。
● よくある質問
サービスアカウント とは何ですか?
アプリケーション・スクリプト・サービスが他のシステムに認証するために用いる非人間アイデンティティで、通常は対話的ログインを行わない。 サイバーセキュリティの ID とアクセス カテゴリに属します。
サービスアカウント とはどういう意味ですか?
アプリケーション・スクリプト・サービスが他のシステムに認証するために用いる非人間アイデンティティで、通常は対話的ログインを行わない。
サービスアカウント からどのように防御しますか?
サービスアカウント に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
サービスアカウント の別名は何ですか?
一般的な別名: 非人間 ID, アプリケーションアカウント。