エフェメラル資格情報 - CI/CD用語集の定義
エフェメラル資格情報とは、単一の job のためにオンデマンドで発行され、その後に破棄される短命な secret です。
エフェメラル資格情報とは、1 回の CI run のために just-in-time で発行され、すぐに失効するトークンやキーで、長寿命なものを何も保存しません。OIDC ベースのクラウド認証や GitHub App のインストールトークンが一般的な発行元です。
より安全な理由
log が調査されたり artifact が持ち出されたりする頃には資格情報がすでに存在しない(または失効している)ため、エフェメラル資格情報は静的キーが抱える常在 secret の漏洩リスクを取り除きます。
関連ガイド
OIDC Subject - CI/CD Glossary DefinitionOIDC Subject: An OIDC subject is the `sub` claim in the OpenID Connect token GitHub issues to a workflow, enc…
Installation Token - CI/CD Glossary DefinitionInstallation Token: An installation access token is a token a GitHub App mints for a specific installation. I…
Token Expiry - CI/CD Glossary DefinitionToken Expiry: Token expiry is the lifetime after which a token is rejected. Short expiries limit the window a…