← Tüm terimler
İş Yükü Kimliği

İş yükü kimliği nedir?

İş yükü kimliği; uygulamalara, konteynerlere ve servislere kendilerine ait doğrulanabilir kimlikler verir; böylece saklanan gizli anahtarlar yerine kısa ömürlü kimlik bilgileriyle doğrulanırlar.

Son güncelleme: 14 Temmuz 2026

İş yükü kimliği nasıl işler

İş yükü; başka sistemlere erişmesi gereken, çalışan her yazılım parçasıdır: Bir API çağıran mikroservis, kuyruk okuyan konteyner, altyapı dağıtan CI hattı, veritabanı sorgulayan fonksiyon. Geleneksel olarak bunların her biri, elle sağlanan ve nadiren — belki de hiç — döndürülmeyen saklı bir gizli anahtarla kimlik doğrulardı: Bir API anahtarı, bir parola, bir sertifika dosyası.

İş yükü kimliği, saklanan gizli anahtarların yerine doğrulanmış, kısa ömürlü kimlik bilgileri koyar. İş yükünü çalıştıran platform onun ne olduğuna kefil olur: Bulut sağlayıcı bir sanal makinenin veya fonksiyonun belirli bir servis hesabına ait olduğunu doğrular, Kubernetes belirli bir pod'a bağlı servis hesabı tokenları üretir ve SPIFFE/SPIRE gibi çerçeveler bu doğrulamayı doğrulanabilir kimlik belgeleriyle platformlar arasında standartlaştırır. İş yükü bu kanıtı, ihtiyacına göre kapsamlanmış kısa ömürlü bir tokenla takas eder; token döndürme gerektirmek yerine kendiliğinden sona erer.

Federasyon kalıbı sınırların ötesine taşır: Bir platformdaki CI işi, OIDC token değişimiyle bir bulut sağlayıcıda doğrudan kimlik doğrulayabilir — CI sisteminde saklanan uzun ömürlü bulut kimlik bilgisi hiç olmaz.

İş yükü kimliği neden önemlidir

Saklanan gizli anahtarlar, gerçek ihlallerin en yaygın nedenlerindendir: Depolara işlenen anahtarlar, CI değişkenlerine kopyalanan kimlik bilgileri, unutulmuş sunuculardaki sertifikalar. Saklanan her gizli anahtar sızabilecek bir şeydir; sızan makine kimlik bilgileri ise genellikle geniş izinler taşıdığı ve MFA içermediği için özellikle zararlıdır.

Modern ortamlarda iş yükü kimlikleri, insan kimliklerini kat kat aşar ve bu oran mikroservisler ve otomasyonla büyümeye devam eder. Bu topluluğu elle sağlanan gizli anahtarlarla yönetmek operasyonel olarak ölçeklenmez; yönetişim açısından da başarısızdır: Dağınık yapılandırma dosyalarında yaşayan erişim haklarını kimse gözden geçiremez.

Kısa ömürlü, doğrulanmış kimlik bilgileri saldırının ekonomisini değiştirir. Çalınan bir token yıllarca geçerli kalmak yerine dakikalar veya saatler içinde sona erer, kimlik bir dosyayı elinde tutan herhangi birine değil gerçek çalışma ortamına bağlanır ve her erişim belirli bir iş yüküne atfedilebilir — sıfır güven mimarilerinin servisler arası trafikte istediği de tam olarak budur.

Pratikte iş yükü kimliği

Kalıbı, platformun zaten sunduğu yerlerde benimseyin: Sanal makineler, fonksiyonlar ve yönetilen servisler için buluta yerleşik iş yükü kimlikleri; dar hedef kitleli Kubernetes servis hesabı tokenları; CI sistemleri ile bulut sağlayıcılar arasında OIDC federasyonu. Bunların her biri, makul bir çabayla bir saklı gizli anahtar sınıfını ortadan kaldırır.

Envanter vazgeçilmezdir — iş yükü kimliklerinin de insan hesapları gibi sahiplere, kapsamlara ve gözden geçirmelere ihtiyacı vardır; yoksa sessizce sahipsiz erişimin makine karşılığına dönüşürler. Kalan her uzun ömürlü gizli anahtarı, geçiş planı olan teknik borç olarak ele alın; gerçekten ortadan kaldırılamayan gizli anahtarları döndürme özellikli yönetilen bir kasada tutun.

Bu topluluğun yönetişimi insan kimlik yönetişimiyle yakınsıyor; kimlik platformları, aynı yaşam döngüsü ve gözden geçirme disiplini uygulansın diye iş yükü ve ajan kimliklerini kullanıcı hesaplarıyla birlikte kaydedip yönetmeye başlıyor.

Sık sorulan sorular

İş yükü kimliği ile servis hesabı arasındaki fark nedir?
Servis hesabı, bir iş yükünün genellikle saklı bir gizli anahtarla oturum açtığı hesaptır. İş yükü kimliği ise modern ikame kalıptır: Çalışma platformu iş yükünün ne olduğuna kefil olur ve iş yükü, hiçbir gizli anahtar saklanmadan veya dağıtılmadan kısa ömürlü, kapsamlı kimlik bilgileri alır.
SPIFFE nedir?
SPIFFE (Secure Production Identity Framework For Everyone), heterojen platformlardaki iş yüklerine doğrulanabilir kimlikler vermek için açık bir standarttır; SPIRE ise referans uygulamasıdır. Servislerin paylaşılan gizli anahtarlar olmadan birbirlerini doğrulamak için kullanabileceği kimlik belgelerini (SVID) tanımlar.
İş yükü kimliği gizli anahtar kasalarına ihtiyacı ortadan kaldırır mı?
Tamamen değil. En büyük kategoriyi — iş yüklerinin kendilerini doğrulamak için kullandığı kimlik bilgilerini — ortadan kaldırır; ancak üçüncü taraf API anahtarları, şifreleme anahtarları ve federasyon desteği olmayan sistemlerin kimlik bilgileri gibi gizli anahtarlar var olmaya devam eder ve döndürme ile erişim kontrolüne sahip yönetilen bir kasada tutulmalıdır.