身份与访问
服务账户
别称: 非人类身份, 应用账户
定义
由应用程序、脚本或服务使用的非人类身份,通常用于在没有交互登录的情况下向其他系统进行认证。
服务账户代表的是工作负载而非人。它通常为后端进程而设,如备份任务、Kubernetes Pod、SaaS 连接器,用以调用数据库、API、消息队列或操作系统服务。这类账户往往持有长期有效的密钥(密码、API 密钥、证书)和较大权限,如果管理不善,极易成为横向移动的目标。最佳实践包括将凭据存入密钥保险库、自动轮换、按最小权限分配范围、在云中采用工作负载身份联邦(凭据短期化)、记录审计日志,以及用 OIDC 或 mTLS 等机制替代长期静态密钥。
示例
- Pod 通过 Kubernetes ServiceAccount 以有限的 RBAC 权限调用集群 API。
- Azure 托管标识允许虚拟机直接读取 Key Vault,无需存储任何密钥。
相关术语
机器身份
用于认证并与其他系统建立信任的非人类实体(工作负载、设备、容器或 API 客户端)的加密身份。
最小权限原则
一种安全原则,要求向每个用户、进程或服务仅授予其完成职责所必需的最少权限,绝不多余。
特权访问管理(PAM)
一套用于保护、控制、监控和审计具有管理员或更高权限账户与系统访问的实践与工具。
Credential Vault
Credential Vault — definition coming soon.
身份与访问管理 (IAM)
用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。
OAuth 2.0
开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。