サービスアカウントトークン.

Kubernetes Pod にマウントされる JWT 形式の認証情報。API サーバや、クラスタの ID プロバイダを信頼する外部サービスに対してワークロードを認証する。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

Kubernetes Pod にマウントされる JWT 形式の認証情報。API サーバや、クラスタの ID プロバイダを信頼する外部サービスに対してワークロードを認証する。

Kubernetes の ServiceAccount は、Pod が使う人間以外のアイデンティティを表します。関連付くトークンは署名済みの JWT で、近年のバージョンでは TokenRequest API により Pod 内の /var/run/secrets/kubernetes.io/serviceaccount/token に自動投影され、API サーバへの呼び出しに用いられます。クレームには audience、有効期限、Namespace、Pod 名などが含まれます。トークンは RBAC を介してアクセス権を付与するため、漏洩は深刻です。攻撃者は窃取したトークンで RoleBinding の範囲内のリソースを参照・変更・削除できてしまいます。ベストプラクティスは、audience 付きで寿命が短い bound トークンを使い、必要のない自動マウントを止め、最小権限の RoleBinding を維持し、OIDC、Workload Identity、IRSA などでクラウド IAM とフェデレーションすることです。

サービスアカウントトークン に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: ServiceAccount トークン, Projected SA トークン。