服务账户

Q: 服务账户 是什么?

由应用程序、脚本或服务使用的非人类身份,通常用于在没有交互登录的情况下向其他系统进行认证。 它属于网络安全的 身份与访问 分类。

Q: 如何防御 服务账户?

针对 服务账户 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

服务账户是什么?

服务账户由应用程序、脚本或服务使用的非人类身份,通常用于在没有交互登录的情况下向其他系统进行认证。

服务账户代表的是工作负载而非人。它通常为后端进程而设,如备份任务、Kubernetes Pod、SaaS 连接器,用以调用数据库、API、消息队列或操作系统服务。这类账户往往持有长期有效的密钥(密码、API 密钥、证书)和较大权限,如果管理不善,极易成为横向移动的目标。最佳实践包括将凭据存入密钥保险库、自动轮换、按最小权限分配范围、在云中采用工作负载身份联邦(凭据短期化)、记录审计日志,以及用 OIDC 或 mTLS 等机制替代长期静态密钥。

● 示例

01
Pod 通过 Kubernetes ServiceAccount 以有限的 RBAC 权限调用集群 API。
02
Azure 托管标识允许虚拟机直接读取 Key Vault,无需存储任何密钥。

● 常见问题

服务账户是什么?

由应用程序、脚本或服务使用的非人类身份,通常用于在没有交互登录的情况下向其他系统进行认证。它属于网络安全的身份与访问分类。

服务账户是什么意思?

由应用程序、脚本或服务使用的非人类身份,通常用于在没有交互登录的情况下向其他系统进行认证。

如何防御服务账户?

针对服务账户的防御通常结合技术控制与运营实践,详见上方完整定义。

服务账户还有哪些其他名称?

常见的别称包括: 非人类身份, 应用账户。

服务账户

服务账户是什么?

● 示例

● 常见问题

● 相关术语

● 另见

服务账户 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

服务账户是什么?