Service Account Token - CI/CD用語集の定義
service account tokenは、非人間のサービスIDに代わって自動化をシステムに認証させます。
service account token とは、サービス(人ではなく)に発行される認証情報で、パイプラインがregistry、cloud、APIに認証できるようにします。最小権限に絞ることで、tokenがlogに漏れた場合の影響範囲を限定します。
短命なものを優先する
長命なservice account tokenは、よくある漏洩の経路です。可能な場合は、OIDC によって発行される ephemeral credentials に置き換え、CI設定に静的なsecretを保存しないようにします。
関連ガイド
Machine User - CI/CD Glossary DefinitionMachine User: A machine user is a GitHub account created to represent automation, holding tokens and permissi…
Ephemeral Credential - CI/CD Glossary DefinitionEphemeral Credential: An ephemeral credential is a token or key issued just-in-time for one CI run and expiri…
OIDC Subject - CI/CD Glossary DefinitionOIDC Subject: An OIDC subject is the `sub` claim in the OpenID Connect token GitHub issues to a workflow, enc…