新規セキュリティ
OpenAI
OpenAIのWorkload Identity FederationでAPIキーを廃止する、短期トークン移行の設計と落とし穴
OpenAI APIのWorkload Identity Federationは、クラウドやKubernetes、GitHub ActionsなどのOIDCアイデンティティを短期OpenAIトークンへ交換し、長期APIキーの配布を減らす。導入効果は大きいが、Issuer・Subject・Audienceの設計、サービスアカウント対応、失効、監査、段階移行を誤ると、鍵管理の問題がフェデレーション設定の問題へ移るだけになる。
- 影響
- OpenAI APIキーをCI/CD、Kubernetes、クラウドワークロード、バッチ処理、社内サービスへ配布している開発・セキュリティ・プラットフォーム部門
- 対応
- 信頼するIssuerとSubjectを最小化し、サービスアカウント対応、Audience、TTL、権限、監査ログ、緊急停止を設計したうえでAPIキーから段階移行する
- 期限
- 期限なし