Identidade de Workload
O que é Identidade de Workload?
Identidade de WorkloadIdentidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração.
Identidade de workload é a prática de atribuir a cada workload em execução — pod Kubernetes, função serverless, VM, job batch — as suas próprias credenciais atestadas e de curta duração, em vez de depender de chaves estáticas partilhadas. Implementações cloud-native incluem GKE Workload Identity (service account Kubernetes mapeada a uma do Google), AWS IAM Roles for Service Accounts (IRSA) via federação OIDC, Azure Workload Identity e identidades baseadas em SPIFFE/SPIRE. Os workloads obtêm tokens ou SVIDs X.509 através de um endpoint local de confiança (IMDS, kubelet, agente) e usam-nos para chamar APIs cloud, bases de dados ou outros serviços. O modelo é fundamental para zero trust e reduz o raio de impacto de fugas de credenciais.
● Exemplos
- 01
GKE Workload Identity permite a um pod chamar o Cloud Storage com a sua service account Google associada.
- 02
AWS IRSA: um pod EKS assume um role IAM através de um token OIDC projetado.
● Perguntas frequentes
O que é Identidade de Workload?
Identidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Identidade de Workload?
Identidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração.
Como se defender contra Identidade de Workload?
As defesas contra Identidade de Workload costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Identidade de Workload?
Nomes alternativos comuns: Identidade de serviço, Identidade de pod.