ID とアクセス
サービスアカウント
別称: 非人間 ID, アプリケーションアカウント
定義
アプリケーション・スクリプト・サービスが他のシステムに認証するために用いる非人間アイデンティティで、通常は対話的ログインを行わない。
サービスアカウントは人ではなくワークロードを表します。バックアップジョブ、Kubernetes Pod、SaaS コネクタなど、データベース・API・メッセージキュー・OS サービスを呼び出すバックエンドプロセスのためにプロビジョニングされます。サービスアカウントはパスワード・API キー・証明書などの長寿命シークレットを保持し、広い権限を持つことが多いため、運用が雑だと横展開の格好の標的になります。ベストプラクティスは、ヴォルトによる集中管理、自動ローテーション、最小権限に基づくスコープ制限、クラウドのワークロード ID 連携(短命な資格情報)、監査ログ、長期キーを OIDC や mTLS ベースの認証へ置き換えることです。
例
- Kubernetes ServiceAccount を使い、Pod が限定された RBAC 権限でクラスタ API を呼び出す。
- Azure マネージド ID により、VM がシークレットを保存せずに Key Vault を読み取る。
関連用語
マシン ID
ワークロード・デバイス・コンテナ・API クライアントなど非人間エンティティが他システムと認証・信頼関係を結ぶための暗号学的アイデンティティ。
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。
特権アクセス管理(PAM)
管理者権限を持つアカウントやシステムへのアクセスを安全に管理・制御・監視・監査するためのプラクティスとツールの総称。
Credential Vault
Credential Vault — definition coming soon.
アイデンティティとアクセス管理 (IAM)
デジタルアイデンティティを定義し、どの ID がどの条件下でどのリソースにアクセスできるかを制御するための技術領域と仕組み。
OAuth 2.0
リソース所有者が資格情報を共有せずに、サードパーティ製アプリへ API に対する制限付き・スコープ付きのアクセスを委譲できる、オープンな認可フレームワーク。