Service Account トークンとは?
service account トークンは、podが非人間のアイデンティティとしてAPIサーバーや他のサービスに認証できるよう、Kubernetesの service account に対して発行される認証情報です。最近のトークンは短命で、特定のpodとaudienceに結び付けられており、1つが漏洩した場合の影響範囲を減らします。次に role binding が、そのアイデンティティが何を許可されるかを制御します。
なぜ重要か
workloadは、長命な静的secretを埋め込むことなくAPIを呼び出すためのアイデンティティを必要とします。結び付けられ有効期限のあるトークンを、最小権限のroleと組み合わせることで、侵害されたpodからの被害を抑えます。
関連ガイド
What Is a Network Policy Rule?A network policy rule defines which pods may send or receive traffic in Kubernetes, enforcing segmentation at…
What Is a Kubeconfig Context?A kubeconfig context is a named bundle of cluster, user credentials, and namespace that determines which Kube…
What Is an Admission Webhook?An admission webhook is an HTTP callback the Kubernetes API server invokes to validate or mutate a resource b…