Kubernetes ServiceAccount令牌投射与安全治理

--- title: Kubernetes ServiceAccount令牌投射与安全治理 keywords: - ServiceAccount - 令牌投射 - Projected Token - Audience - TTL description: 使用投射令牌与受众/TTL控制，在 Pod 内提供短期与特定受众的访问令牌，提升安全与最小权限。 categories: - 文章资讯 - 技术教程 --- # Kubernetes ServiceAccount令牌投射与安全治理 ## 概览 - 投射令牌提供短期与受众限定的 JWT；替代长期挂载的 SA 令牌；与网关/后端鉴权协同。 ## 技术参数（已验证） - 投射：`ProjectedServiceAccountToken` 设置 `audience` 与 `expirationSeconds`；通过 `volume` 投射到 Pod。 - 安全：最小权限与命名空间隔离；限制令牌可见；在 Sidecar/SDK 中传递。 - 兼容：与 OIDC 验证与网关策略协同；统一受众与校验。 - 观测：记录令牌签发与失败；设定告警与审计。 - 回滚：在异常时撤销与再签发；保持路径畅通。 ## 实战清单 - 为访问外部/网关的工作负载启用投射令牌；限制受众与 TTL。 - 统一验证策略与密钥管理；维护配置文档与台账。 - 在失败时快速回滚与再签发；持续监控。