Skip to content
Latchkey

O Que É Autenticação Serviço a Serviço? Como Máquinas Confiam Umas nas Outras

A autenticação serviço a serviço é como uma carga de trabalho prova sua identidade a outra sem envolvimento humano, usando tokens, certificados ou workload identity.

A autenticação serviço a serviço, às vezes chamada de autenticação máquina a máquina, é a espinha dorsal dos sistemas automatizados. Não há ninguém para digitar uma senha, então os serviços provam sua identidade com credenciais que possuem ou podem gerar. O CI/CD é quase inteiramente serviço a serviço: os pipelines autenticam em hosts de código-fonte, registries e nuvens dezenas de vezes por execução.

Como as máquinas se autenticam

  • API keys ou tokens apresentados a cada requisição.
  • Mutual TLS, em que ambos os lados apresentam certificados.
  • Workload identity, em que a plataforma atesta o serviço via OIDC.

Por que difere da auth humana

Humanos usam senhas e MFA; máquinas não podem. Elas dependem de credenciais armazenadas ou geradas, o que significa que o risco muda de phishing para vazamento de credenciais. As defesas são escopo, tempos de vida curtos e minimizar secrets permanentes.

O padrão workload identity

A abordagem moderna evita secrets armazenados por completo. A plataforma emite para a carga de trabalho um token de identidade assinado (OIDC) descrevendo o que ela é, e o serviço de destino confia nesse emissor. O pipeline obtém credenciais de curta duração sem nenhuma chave de longa duração para vazar.

Auth serviço a serviço em CI/CD

Cada etapa do pipeline que toca um sistema externo usa auth serviço a serviço: clonar, baixar dependências, enviar imagens, fazer deploy. As configurações mais fortes usam workload identity baseado em OIDC, de modo que não há uma credencial durável parada no pipeline.

Mutual TLS

Em service meshes e sistemas internos, o mutual TLS faz com que ambos os serviços apresentem certificados, então cada um prova sua identidade ao outro. Ele fornece autenticação forte, respaldada por certificado, para o tráfego entre serviços internos.

Auth e o runner

As credenciais serviço a serviço são manipuladas no runner durante o job. Runners isolados e efêmeros (como os runners gerenciados do Latchkey) garantem que essas credenciais fiquem confinadas a um único job e sejam destruídas em seguida, para que não possam ser reutilizadas por outro.

Principais conclusões

  • A auth serviço a serviço permite que máquinas provem sua identidade umas às outras sem humanos.
  • Workload identity via OIDC evita secrets armazenados ao gerar tokens de curta duração.
  • O mutual TLS fornece autenticação forte, respaldada por certificado, entre serviços internos.

Guias relacionados