O Que É Token Scoping? Limitando o Que uma Credencial Pode Fazer
Token scoping é a prática de restringir uma credencial às ações, recursos e duração exatos que ela precisa, para que um vazamento não possa ser usado para nada além disso.
Um token é uma chave, e a questão é quais portas ele abre. O token scoping estreita esse conjunto. Em vez de uma credencial que pode fazer tudo, você cunha uma que pode fazer precisamente o que um dado job requer: ler este repo, escrever naquele bucket, por este tempo. Quando um token escopado vaza, o atacante herda apenas aquela capacidade estreita.
Dimensões do escopo
- Permissões: quais ações (read, write, admin).
- Recursos: quais repos, buckets ou serviços.
- Audience: para qual sistema o token é válido.
- Tempo de vida: por quanto tempo permanece válido.
Por que o escopo limita o dano
Um token amplamente escopado é uma chave-mestra; se vaza, o atacante pode fazer qualquer coisa que ele podia. Um token estreitamente escopado é a chave de uma única porta; um vazamento é contido àquela única capacidade sobre aquele único recurso. O escopo é a diferença entre um incidente e um vazamento grave.
Scoping na prática
No GitHub Actions, as permissões do token embutido podem ser definidas por workflow e por job, com padrão read-only. Roles de nuvem assumidos via OIDC podem ser limitados a recursos específicos. O objetivo é sempre: este token, para este job, pode fazer apenas isto.
Escopo mais tempo de vida
O scoping responde "o que ele pode fazer?"; o tempo de vida responde "por quanto tempo?". Um token estreitamente escopado e cunhado para expirar em minutos é a combinação mais forte, uma credencial efêmera que é quase sem valor para roubar.
Scoping e OIDC
O OIDC token exchange permite que um pipeline troque sua identidade por uma credencial de nuvem de curta duração escopada exatamente aos recursos que ele precisa, sem nenhum segredo armazenado. Isso é token scoping e ephemerality juntos, e remove a credencial permanente inteiramente.
Principais conclusões
- O token scoping restringe uma credencial a ações, recursos e duração específicos.
- Um vazamento escopado é contido; um vazamento amplo é uma chave-mestra para um atacante.
- Escopo mais tempo de vida curto (uma credencial efêmera) é a postura mais forte.