We hebben service-account-keys met een halfjaar oude rotatie-datum
De juiste fix is niet roteren, maar de keys helemaal weghalen. Workload Identity Federation laat je systemen authenticeren zonder langlevende keys.
Probeer dit eerst zelf
- 1Inventariseer alle SA-keys: gcloud iam service-accounts keys list per service-account, plus zelfgeschreven JSON's in CI-secrets.
- 2Voor GitHub Actions: zet up Workload Identity Federation. GitHub OIDC-token wordt geruild voor een GCP-token, geen JSON-key meer nodig.
- 3Voor GKE-pods: Workload Identity (zie aparte entry). Voor Cloud Run en Cloud Functions: default service-account, of een eigen SA toegekend, geen JSON-key.
- 4Voor on-prem-systemen: Workload Identity Federation met een externe identity provider (Okta, Entra ID).
- 5Pas als alles is gemigreerd: keys verwijderen, niet alleen roteren. constraints/iam.disableServiceAccountKeyCreation als hard policy.
Wanneer ons inschakelen
Loopt je SA-key-inventaris over honderden bestanden, dan is een eenmalig migratie-traject met een DevOps-engineer die WIF kent meestal twee weken werk dat een groot risico afdekt.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.