Kubernetes ServiceAccount令牌投射与安全治理

Kubernetes ServiceAccount令牌投射与安全治理概览投射令牌提供短期与受众限定的 JWT；替代长期挂载的 SA 令牌；与网关/后端鉴权协同。技术参数（已验证）投射：`ProjectedServiceAccountToken` 设置 `audience` 与 `expirationSeconds`；通过 `volume` 投射到 Pod。安全：最小权限与命名空间隔离；限制令牌可见；在 Sidecar/SDK 中传递。兼容：与 OIDC 验证与网关策略协同；统一受众与校验。观测：记录令牌签发与失败；设定告警与审计。回滚：在异常时撤销与再签发；保持路径畅通。实战清单为访问外部/网关的工作负载启用投射令牌；限制受众与 TTL。统一验证策略与密钥管理；维护配置文档与台账。在失败时快速回滚与再签发；持续监控。