ワークロード ID
ワークロード ID とは何ですか?
ワークロード IDサービス・コンテナ・関数に割り当てられる暗号的 ID で、長期間の共有シークレットなしに他システムへ認証するために使われる。
ワークロード ID は、Kubernetes Pod、サーバレス関数、仮想マシン、バッチジョブといった各ワークロードに対し、共有の静的キーではなく、独自の短命でアテステーション済みの資格情報を付与する考え方です。クラウドネイティブな実装として、GKE Workload Identity(Kubernetes ServiceAccount を Google ServiceAccount にマッピング)、AWS IAM Roles for Service Accounts(IRSA、OIDC フェデレーション利用)、Azure Workload Identity、SPIFFE/SPIRE ベースの ID などがあります。ワークロードはローカルの信頼できるエンドポイント(IMDS、kubelet、エージェント)からトークンや X.509 SVID を取得し、クラウド API、データベース、他サービスへの呼び出しに用います。本モデルはゼロトラストの基盤であり、資格情報漏洩時の影響範囲を大きく狭めます。
● 例
- 01
GKE Workload Identity により Pod がマッピングされた Google ServiceAccount で Cloud Storage を呼び出す。
- 02
AWS IRSA で EKS Pod が投影された OIDC トークンを使い IAM ロールを引き受ける。
● よくある質問
ワークロード ID とは何ですか?
サービス・コンテナ・関数に割り当てられる暗号的 ID で、長期間の共有シークレットなしに他システムへ認証するために使われる。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
ワークロード ID とはどういう意味ですか?
サービス・コンテナ・関数に割り当てられる暗号的 ID で、長期間の共有シークレットなしに他システムへ認証するために使われる。
ワークロード ID からどのように防御しますか?
ワークロード ID に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ワークロード ID の別名は何ですか?
一般的な別名: サービス ID, Pod ID。