---

title: Kubernetes ServiceAccount令牌投射与安全治理

keywords:

• ServiceAccount
• 令牌投射
• Projected Token
• Audience
• TTL

description: 使用投射令牌与受众/TTL控制，在 Pod 内提供短期与特定受众的访问令牌，提升安全与最小权限。

categories:

• 文章资讯
• 技术教程

---

Kubernetes ServiceAccount令牌投射与安全治理

概览

• 投射令牌提供短期与受众限定的 JWT；替代长期挂载的 SA 令牌；与网关/后端鉴权协同。

技术参数（已验证）

• 投射：ProjectedServiceAccountToken 设置 audience 与 expirationSeconds；通过 volume 投射到 Pod。
• 安全：最小权限与命名空间隔离；限制令牌可见；在 Sidecar/SDK 中传递。
• 兼容：与 OIDC 验证与网关策略协同；统一受众与校验。
• 观测：记录令牌签发与失败；设定告警与审计。
• 回滚：在异常时撤销与再签发；保持路径畅通。

实战清单

• 为访问外部/网关的工作负载启用投射令牌；限制受众与 TTL。
• 统一验证策略与密钥管理；维护配置文档与台账。
• 在失败时快速回滚与再签发；持续监控。