工作负载身份
工作负载身份 是什么?
工作负载身份为服务、容器或函数分配的加密身份,使其无需长期共享密钥即可对其他系统进行身份认证。
工作负载身份(workload identity)是指为每个运行中的工作负载——Kubernetes Pod、无服务器函数、虚拟机、批处理任务——分配独立的、经过证明的短期凭据,而非使用共享静态密钥。云原生实现包括 GKE Workload Identity(Kubernetes service account 与 Google service account 映射)、AWS IAM Roles for Service Accounts(IRSA,通过 OIDC 联邦)、Azure Workload Identity,以及基于 SPIFFE/SPIRE 的身份。工作负载通过本地可信端点(IMDS、kubelet、代理)获取令牌或 X.509 SVID,然后调用云 API、数据库或其他服务。该模型是零信任的基础,可显著缩小凭据泄露的影响半径。
● 示例
- 01
GKE Workload Identity 让 Pod 通过映射的 Google service account 访问 Cloud Storage。
- 02
AWS IRSA:EKS Pod 通过投影的 OIDC 令牌承担 IAM 角色。
● 常见问题
工作负载身份 是什么?
为服务、容器或函数分配的加密身份,使其无需长期共享密钥即可对其他系统进行身份认证。 它属于网络安全的 云安全 分类。
工作负载身份 是什么意思?
为服务、容器或函数分配的加密身份,使其无需长期共享密钥即可对其他系统进行身份认证。
工作负载身份 是如何工作的?
工作负载身份(workload identity)是指为每个运行中的工作负载——Kubernetes Pod、无服务器函数、虚拟机、批处理任务——分配独立的、经过证明的短期凭据,而非使用共享静态密钥。云原生实现包括 GKE Workload Identity(Kubernetes service account 与 Google service account 映射)、AWS IAM Roles for Service Accounts(IRSA,通过 OIDC 联邦)、Azure Workload Identity,以及基于 SPIFFE/SPIRE 的身份。工作负载通过本地可信端点(IMDS、kubelet、代理)获取令牌或 X.509 SVID,然后调用云 API、数据库或其他服务。该模型是零信任的基础,可显著缩小凭据泄露的影响半径。
如何防御 工作负载身份?
针对 工作负载身份 的防御通常结合技术控制与运营实践,详见上方完整定义。
工作负载身份 还有哪些其他名称?
常见的别称包括: 服务身份, Pod 身份。
● 相关术语
- cloud-security№ 1078
SPIFFE
为软件工作负载分配可加密验证、可移植身份的开放标准,使用基于 URI 的 SPIFFE ID 和短期的 X.509 或 JWT SVID。
- cloud-security№ 1079
SPIRE 运行时
SPIFFE 的官方开源参考实现:由服务器与代理组成,可对工作负载进行证明并签发短期 X.509 或 JWT SVID。
- cloud-security№ 1014
服务网格安全
服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。
- cloud-security№ 559
Istio 安全
Istio 服务网格的安全特性集合:基于 SPIFFE 的工作负载身份、自动双向 TLS,以及用于细粒度访问控制的 AuthorizationPolicy 和 RequestAuthentication。
- network-security№ 1262
零信任网络
默认不信任任何用户、设备或服务,并对每一次连接基于身份进行持续验证的网络架构。
- identity-access№ 1011
服务账户
由应用程序、脚本或服务使用的非人类身份,通常用于在没有交互登录的情况下向其他系统进行认证。