Skip to content
Latchkey

O Que É uma Credencial Efêmera? Um Segredo Que Expira Rápido

Uma credencial efêmera é um segredo de curta duração criado para um único job e que expira em minutos, então uma cópia vazada é inútil quase imediatamente.

O segredo mais perigoso é um de longa duração: vaze-o uma vez e ele funciona para sempre. Credenciais efêmeras invertem isso. Elas existem apenas pelo momento em que um job precisa delas, cunhadas frescas e expirando rápido. Mesmo se uma for capturada, ela está morta quando um atacante tenta usá-la. A ephemerality é o superpoder silencioso da segurança moderna de pipelines.

O que torna uma credencial efêmera

Ela é gerada sob demanda para uma tarefa específica, escopada a essa tarefa e recebe um time-to-live curto, muitas vezes minutos. Quando o job termina ou o relógio esgota, ela para de funcionar. Não há valor permanente parado em um store esperando para vazar.

Por que ela supera um segredo armazenado

  • Nenhum valor de longa duração para vazar de um repo, log ou backup.
  • Um token capturado expira antes de ser útil.
  • Nenhuma política de rotação necessária; ela rotaciona a cada job por design.
  • O scoping estreito limita ainda mais o que ela pode fazer.

Como os pipelines as obtêm

O OIDC token exchange é o mecanismo comum: o pipeline prova sua identidade e recebe uma credencial de nuvem de curta duração em troca, sem nenhum segredo armazenado envolvido. Secrets managers também podem emitir credenciais dinâmicas e de curta duração sob requisição.

Credenciais efêmeras vs runners efêmeros

Eles se complementam. Uma credencial efêmera é um segredo que expira; um runner efêmero é uma máquina que é destruída após um job. Juntos eles significam que nem o segredo nem o ambiente que o guardou sobrevivem ao trabalho.

O destino final para segredos

Credenciais efêmeras são para onde o gerenciamento de segredos está indo: armazene o mínimo possível, cunhe o que precisar no momento exato, e deixe desaparecer. Em runners isolados e efêmeros (como a Latchkey), uma credencial de curta duração some no momento em que o job termina, não deixando nada para o próximo job encontrar.

Principais conclusões

  • Uma credencial efêmera é cunhada por job, estreitamente escopada e expira em minutos.
  • Uma cópia capturada é inútil quase imediatamente, sem necessidade de política de rotação.
  • OIDC token exchange e dynamic secrets são as formas usuais de obtê-las.

Guias relacionados