Token de ServiceAccount (Kubernetes)
O que é Token de ServiceAccount (Kubernetes)?
Token de ServiceAccount (Kubernetes)Credencial JWT montada num pod Kubernetes que autentica o workload junto do API server e de outros servicos que confiam no fornecedor de identidade do cluster.
Uma ServiceAccount no Kubernetes representa uma identidade nao humana usada por pods. O token associado e um JSON Web Token assinado, automaticamente projetado no pod em /var/run/secrets/kubernetes.io/serviceaccount/token (API TokenRequest nas versoes modernas) e usado para chamar o API server. O token inclui claims como audience, expiracao, namespace e pod. Como concede acesso via RBAC, a sua fuga e perigosa: com um token roubado, um atacante pode listar, alterar ou destruir recursos do cluster dentro do escopo do role binding. As boas praticas sao usar tokens vinculados, com audience e curta duracao, desativar a montagem automatica quando nao e necessaria, manter role bindings com privilegio minimo e federar a identidade do workload ao IAM da nuvem (OIDC, Workload Identity, IRSA).
● Exemplos
- 01
Pod usa o seu token projetado com audience "sts.amazonaws.com" via IRSA para assumir um role AWS IAM.
- 02
Um atacante que escapa de um contentor le o token SA e pivota para a API do Kubernetes.
● Perguntas frequentes
O que é Token de ServiceAccount (Kubernetes)?
Credencial JWT montada num pod Kubernetes que autentica o workload junto do API server e de outros servicos que confiam no fornecedor de identidade do cluster. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Token de ServiceAccount (Kubernetes)?
Credencial JWT montada num pod Kubernetes que autentica o workload junto do API server e de outros servicos que confiam no fornecedor de identidade do cluster.
Como funciona Token de ServiceAccount (Kubernetes)?
Uma ServiceAccount no Kubernetes representa uma identidade nao humana usada por pods. O token associado e um JSON Web Token assinado, automaticamente projetado no pod em /var/run/secrets/kubernetes.io/serviceaccount/token (API TokenRequest nas versoes modernas) e usado para chamar o API server. O token inclui claims como audience, expiracao, namespace e pod. Como concede acesso via RBAC, a sua fuga e perigosa: com um token roubado, um atacante pode listar, alterar ou destruir recursos do cluster dentro do escopo do role binding. As boas praticas sao usar tokens vinculados, com audience e curta duracao, desativar a montagem automatica quando nao e necessaria, manter role bindings com privilegio minimo e federar a identidade do workload ao IAM da nuvem (OIDC, Workload Identity, IRSA).
Como se defender contra Token de ServiceAccount (Kubernetes)?
As defesas contra Token de ServiceAccount (Kubernetes) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Token de ServiceAccount (Kubernetes)?
Nomes alternativos comuns: Token de ServiceAccount, Token SA projetado.
● Termos relacionados
- cloud-security№ 600
Segurança do Kubernetes
Proteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.
- cloud-security№ 596
kube-bench
Ferramenta open source da Aqua Security que verifica automaticamente a configuracao de um cluster Kubernetes face ao CIS Kubernetes Benchmark.
- cloud-security№ 601
Kubescape
Plataforma open source de seguranca Kubernetes da ARMO que analisa clusters, manifestos e imagens em busca de ma configuracao, vulnerabilidades e desvios de politica.
- cloud-security№ 1248
Identidade de Workload
Identidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração.