🟡 🛡️ セキュリティ 公開日: · 2 分で読めます ·

OpenAI: Workload Identity FederationがOIDCトークン交換により長期APIキーを廃止

Urednička ilustracija: Workload Identity Federation eliminira dugoročne API ključeve razmjenom OIDC tokena

OpenAI Workload Identity Federationは、ワークロードが外部から発行されたOIDCアイデンティティトークンを短期のOpenAIアクセストークンと交換できるセキュリティメカニズムである。コードや設定ファイルに長期APIキーを保存する代わりに、このシステムはKubernetes、AWS、Azure、Google Cloud、GitHub Actions、SPIFFEを信頼できるアイデンティティソースとしてサポートする。

🤖

この記事はAIにより一次情報源から生成されました。

OpenAIがWorkload Identity Federationを発表した——アプリケーションのコードや設定ファイルに長期APIキーを保存する必要を排除するセキュリティメカニズムだ。

アイデンティティトークン交換はどのように機能するか?

Workload Identity Federationは4つのコンポーネントに依存する。まず、OIDCエンドポイント、オーディエンス、キー検証ソースを持つ信頼できる外部発行者を記述するWorkload Identity Providerを定義する。次にサービスアカウントマッピングが外部トークンの特定の属性を特定のOpenAIサービスアカウントのトークン作成に認可する。3番目のステップでトークン交換がワークロードの外部トークンを受け取り、短期のOpenAIアクセストークンを返す。最後に、アプリケーションがそのトークンをAPIコールのベアラー認証情報として使用する。

システムはOIDC互換のJWTトークンを使用する。トークンの属性は、トークンクレームからカスタムマッチング基準を導出するための**Common Expression Language(CEL)**を通じて変換できる。

どのプラットフォームとクラウドがサポートされているか?

OpenAIは6つのプラットフォームに対して専用の統合ガイドを提供している:Kubernetes(プロジェクテッドサービスアカウントトークン)、AWS(STSまたはEKSプロジェクテッドトークン)、Microsoft Azure(マネージドアイデンティティまたはAKSトークン)、Google Cloud(メタデータサーバーまたはGKEトークン)、GitHub Actions(OIDCワークフロー)、SPIFFE(インフラストラクチャ向けJWT-SVID標準)。

設定はOrganization Settings > Security > Workload Identity Providerを通じて行われ、組織オーナーが利用できる。JWKS検証はOIDCディスカバリと手動アップロードされたキーセットの両方をサポートする。ディスカバリドキュメントは600秒ごとに更新される。

これがAPIアクセスセキュリティにとって重要な理由は何か?

長期APIキーは永続的なセキュリティリスクを表す——一度侵害されると、手動で失効させるまで無制限のアクセスを可能にする。短期OIDCトークンは自動的に期限切れになり、特定のワークロードアイデンティティに結びついているため、攻撃対象面が大幅に削減される。

OpenAIはいくつかの実践を推奨している:ワークロードごとに個別のサービスアカウントを使用すること、開発環境と本番環境を分離すること、(ワイルドカードのみでなく)クレームを正確にマッチングすること、未使用のマッピングを定期的に監査すること。マッピングはワイルドカードマッチングをサポートするが、末尾のワイルドカードは1つのみ使用可能だ。

この標準の導入により、OpenAIはAWS、Google Cloud、Azureが本番ワークロードにすでに要求しているセキュリティプラクティスと整合する——トークン交換(token exchange)はOAuth 2.0 Token Exchange仕様(RFC 8693)に基づいている。

よくある質問

OpenAI Workload Identity Federationとは何か、何のために使われるか?
Workload Identity Federationは静的APIキーを短期トークンに置き換えるメカニズムである。ワークロードはクラウド環境(AWS、Azure、GCP、GitHub Actions等)からOIDCトークンを提出し、認証用の一時的なOpenAIトークンを受け取る。
OpenAI Workload Identity Federationはどのプラットフォームをサポートするか?
Kubernetes(プロジェクテッドサービスアカウントトークン)、AWS(STSまたはEKS)、Microsoft Azure(マネージドアイデンティティまたはAKS)、Google Cloud(メタデータサーバーまたはGKE)、GitHub Actions(OIDCワークフロー)、SPIFFE(JWT-SVID)がサポートされている。
OpenAI Workload Identity Providerの設定方法は?
組織オーナーはOrganization Settings > Security > Workload Identity Provider経由で設定にアクセスする。JWKS検証はOIDCディスカバリと手動アップロードされたキーセットをサポートし、ディスカバリドキュメントは600秒ごとに更新される。

📬 AIニュースをあなたの受信箱へ

毎日のダイジェストを自分仕様に——トピック、ソース、頻度を選べます。ワンクリックで解除。