Workload Identity - CI/CD 用語集の定義
workload identity によって、job や pod は長命なキーの代わりに検証可能なアイデンティティでクラウドに認証できます。
workload identity とは、workload (CI の job や Kubernetes の pod など) に検証可能なクラウドアイデンティティを与え、静的なキーを保存せずに短命な認証情報を取得できるようにする仕組みです。
多くの場合 OIDC 上に構築される workload identity は、信頼された token を一時的なアクセスと交換することで、pipeline から保存された secrets を排除します。
CI/CD において
GitHub Actions の job は自身の OIDC token をクラウドプロバイダーに提示して role を assume できるため、静的な access key がリポジトリに存在することはありません。
関連ガイド
Assume Role - CI/CD Glossary DefinitionAssume Role: Assume role is the action of an identity requesting temporary credentials for an IAM role it is…
Temporary Credentials - CI/CD Glossary DefinitionTemporary Credentials: Temporary credentials are short-lived access tokens issued for a limited time (and oft…
IAM Role - CI/CD Glossary DefinitionIAM Role: An IAM role is an identity in a cloud provider with a set of permissions that trusted principals ca…