workload identityとは?
workload identityは、CI job、container、サービスのような非人間のworkloadに検証可能なマシンidentityを割り当て、埋め込まれたsecretなしで他のシステムに認証できるようにする概念です。workloadは自身のidentityを証明する署名済みtokenを提示し、対象システムはスコープの限られた短命なアクセスを付与します。secretlessな認証の基盤です。
なぜ重要か
workloadを(共有パスワードを渡す代わりに)identityとして扱うことで、きめ細かく監査可能なアクセスポリシーを適用し、認証情報を自動でローテーションできます。それがOIDC federationや現代のzero-trustなCIアクセスモデルを可能にしています。
関連する概念
- OIDC federationは一般的な実装である
- 厳密なスコープのためにleast privilegeと組み合わせる
- 長命なservice account鍵を置き換える
関連ガイド
What Is OIDC Federation in CI/CD?OIDC federation lets a CI job exchange a short-lived identity token for cloud credentials, removing the need…
What Is the Principle of Least Privilege?Least privilege means granting every user, job, or token only the minimum permissions needed to do its task a…
What Are Environment Protection Rules?Environment protection rules gate deployments to an environment behind required approvals, wait timers, or br…