Skip to content
Latchkey

O Que É Token Scoping? Limitando o Que uma Credencial Pode Fazer

Token scoping é a prática de restringir uma credencial às ações, recursos e duração exatos que ela precisa, para que um vazamento não possa ser usado para nada além disso.

Um token é uma chave, e a questão é quais portas ele abre. O token scoping estreita esse conjunto. Em vez de uma credencial que pode fazer tudo, você cunha uma que pode fazer precisamente o que um dado job requer: ler este repo, escrever naquele bucket, por este tempo. Quando um token escopado vaza, o atacante herda apenas aquela capacidade estreita.

Dimensões do escopo

  • Permissões: quais ações (read, write, admin).
  • Recursos: quais repos, buckets ou serviços.
  • Audience: para qual sistema o token é válido.
  • Tempo de vida: por quanto tempo permanece válido.

Por que o escopo limita o dano

Um token amplamente escopado é uma chave-mestra; se vaza, o atacante pode fazer qualquer coisa que ele podia. Um token estreitamente escopado é a chave de uma única porta; um vazamento é contido àquela única capacidade sobre aquele único recurso. O escopo é a diferença entre um incidente e um vazamento grave.

Scoping na prática

No GitHub Actions, as permissões do token embutido podem ser definidas por workflow e por job, com padrão read-only. Roles de nuvem assumidos via OIDC podem ser limitados a recursos específicos. O objetivo é sempre: este token, para este job, pode fazer apenas isto.

Escopo mais tempo de vida

O scoping responde "o que ele pode fazer?"; o tempo de vida responde "por quanto tempo?". Um token estreitamente escopado e cunhado para expirar em minutos é a combinação mais forte, uma credencial efêmera que é quase sem valor para roubar.

Scoping e OIDC

O OIDC token exchange permite que um pipeline troque sua identidade por uma credencial de nuvem de curta duração escopada exatamente aos recursos que ele precisa, sem nenhum segredo armazenado. Isso é token scoping e ephemerality juntos, e remove a credencial permanente inteiramente.

Principais conclusões

  • O token scoping restringe uma credencial a ações, recursos e duração específicos.
  • Um vazamento escopado é contido; um vazamento amplo é uma chave-mestra para um atacante.
  • Escopo mais tempo de vida curto (uma credencial efêmera) é a postura mais forte.

Guias relacionados