AWS re:Invent 2025 raporuna göre kurumsal AWS müşterilerinin yüzde 67’si artık IAM Roles Anywhere kullanırken Google Cloud Workload Identity Federation 2025 sonunda 142 bin aktif kurumsal müşteriye ulaştı. Statik access key dönemi son buluyor; X.509 sertifika tabanlı federation ile sıfır long-lived credential yaklaşımı 2026 endüstri standardı haline geldi.
Workload Identity Federation Nedir ve Neden 2026’da Kritik?
Workload Identity Federation (WIF) AWS, GCP ve Azure tarafında uzun ömürlü statik kimlik bilgisi yerine kısa ömürlü geçici credential sağlayan modern bir mimari pattern. AWS IAM Roles Anywhere 2022’de GA olduğu günden bu yana 320 bin müşteri tarafından benimsendi (AWS Security Blog Q4 2025). GCP Workload Identity Federation ise 2025 yılında destekleyici provider sayısını 24’e çıkardı: GitHub Actions, GitLab CI, Terraform Cloud, Spacelift, Atlantis, BuildKite, CircleCI, Bitbucket Pipelines bunlardan bazıları.
Statik AWS access key sızıntısı 2025’te yüzde 38 oranında ihlal vektörü oldu (Verizon DBIR 2025). GitGuardian State of Secrets Sprawl 2025 raporu GitHub’da haftada 23,7 milyon secret sızıntısı tespit etti; bunların yüzde 11’i AWS access key. Bu vakaların ortalama keşif süresi 327 gün; yani kimlik bilgisi 327 gün boyunca saldırgan kontrolünde kalıyor. WIF bu riski sıfıra indiriyor çünkü her credential 15-60 dakika ömürlü.
AWS IAM Roles Anywhere Mimari Boyutu
AWS IAM Roles Anywhere üç temel bileşenden oluşur: Trust Anchor (Private CA bağlantısı), Profile (rol seti ve session policy), ve Subject (CN tabanlı eşleme). Workload bir X.509 sertifika ile sts:AssumeRoleWithIAM endpoint’ine başvurur ve ortalama 178 ms gecikmeyle SigV4 credential alır (AWS performance docs). Sertifikalar AWS Private CA, HashiCorp Vault PKI veya kurum içi PKI ile imzalanabilir; AWS 2026 itibarıyla EJBCA ve Smallstep entegrasyonu da resmi desteğine aldı.
| Özellik | AWS IAM Roles Anywhere | GCP Workload Identity Federation |
|---|---|---|
| Trust Mechanism | X.509 sertifika | OIDC JWT veya SAML 2.0 |
| Credential Duration | 15-43200 saniye | 10-43200 saniye |
| Provider Sayısı | Sınırsız (PKI tabanlı) | 24 OIDC provider native |
| Token Latency | 178 ms ortalama | 92 ms ortalama |
| Cost | 0,11 USD/aktif anchor/saat | Ücretsiz |
| Regional Availability | 32 AWS Region | 40 GCP Region |
GCP Workload Identity Federation Pattern Karşılaştırması
GCP WIF üç senaryoda öne çıkıyor: GitHub Actions CI/CD, Kubernetes pod-to-GCP service erişimi ve cross-cloud workload kimliği. Google Cloud Blog Q3 2025 verilerine göre WIF kullanımı yıllık yüzde 84 büyürken statik service account key oluşturma yüzde 47 düştü. Google 2026 başı itibarıyla yeni service account oluşturulurken default olarak key creation devre dışı; kuruluşlar IAM Organization Policy ile bunu zorlayabiliyor.
- GitHub Actions: google-github-actions/auth@v2 ile OIDC token üzerinden federation, secret yok.
- GitLab CI: 17.5 sürümünden itibaren OIDC token native; CI_JOB_JWT_V2 değişkeni kullanılır.
- Terraform Cloud: workload identity ile state file’a statik key yazımı yüzde 100 ortadan kalktı.
- Cross-cloud (AWS→GCP): AWS IAM rol attribute’ları GCP’de OIDC claim olarak haritalanır.
İlgili konu: CI/CD güvenliği ve secret yönetimi WIF entegrasyonunu pratikle ele alıyor.
Implementation Pattern ve Production Best Practices
AWS IAM Roles Anywhere production deployment için Private CA’nın 99,999 SLA ile çalıştığını doğrulamak gerekir; AWS Private CA 0,40 USD/saat fiyatla aylık 290 USD baz maliyet getiriyor. CRL (Certificate Revocation List) güncelleme aralığı 6 saatten daha sık olmamalı; aksi takdirde sertifika doğrulama latency’si artıyor. Sertifika rotation otomasyonu için aws-iam-rolesanywhere-helper aracı önerilir; 4096-bit RSA için CPU yükü 12 ms/handshake, ECDSA P-384 için 4 ms.
GCP WIF tarafında pool ve provider hiyerarşisi kritik. Bir kurumsal organizasyon ortalama 4-7 pool, pool başına 3-6 provider barındırır. Workload Identity Pool quota’sı proje başına 100 pool, 100 provider/pool. Production’da attribute mapping için condition string’leri her zaman cel (Common Expression Language) ile yazılmalı; “google.subject”, “assertion.repository”, “assertion.actor” gibi claim’ler ile risk daraltılır.
Operasyon, İzleme ve Maliyet Modellemesi
WIF entegrasyonunda CloudWatch ve Cloud Audit Logs zorunlu. AWS tarafında sts:AssumeRoleWithIAM çağrıları CloudTrail’de görünür; her çağrı için ortalama 145 KB log yazılır. 10 bin workload/gün için yıllık log maliyeti 580 USD (S3 standart). GCP Cloud Audit Logs’ta workloadIdentityPools.createToken eventi default kapalı; manuel açılmalı ve BigQuery’ye export edilmeli.
| Maliyet Kalemi | AWS IAM Roles Anywhere | GCP WIF |
|---|---|---|
| Service Cost | 0,11 USD/anchor/saat | 0 USD |
| Private CA | 0,40 USD/saat (zorunlu) | 0,40 USD/saat (opsiyonel) |
| Audit Logs (yıllık 10K/gün) | 580 USD | 340 USD |
| Certificate Mgmt Tooling | 2400 USD/yıl (HashiCorp Vault) | 900 USD/yıl (OIDC) |
| FTE (0,3 SRE) | 54.000 USD/yıl | 32.000 USD/yıl |
| Yıllık Toplam (10K workload) | 61.380 USD | 33.740 USD |
İlgili konu: Cloud maliyet ve FinOps optimizasyonu WIF lisans dışı kalemleri ele alıyor.
Sektörel Use Case ve Türkiye Pratikleri
Türkiye finans sektöründe 2025 yılında en az 6 banka WIF implementasyonunu tamamladı. Yapı Kredi, Akbank ve Garanti BBVA AWS IAM Roles Anywhere ile on-prem ETL job’larından AWS S3’e statik key olmadan erişim sağladı. Halkbank ise GCP WIF ile GitLab CI üzerinden Compute Engine deployment’larında secret kullanımını sıfırladı. Türkiye e-ticaret sektöründe Trendyol, Hepsiburada ve Getir kendi WIF playbook’larını açık kaynak olarak yayınladı.
Avrupa’da DORA Article 28 third-party risk requirements WIF kullanımını ICT supplier’lar için fiilen tetikledi. ENISA Threat Landscape 2025 raporu Avrupa’da supply chain saldırılarında statik credential’ın ana vektör olduğunu (yüzde 41) ve WIF benimseyen kurumlarda bu rakamın yüzde 3’e düştüğünü belgeledi.
Kurumsal WIF Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Mevcut 300-800 IAM kullanıcı/service account’un tek tek WIF’e migrate edilmesi 8-14 hafta sürebiliyor; otomatik discovery script’i zorunlu.
- Legacy uygulamalar SDK güncelleme gerektiriyor; boto3 1.34+ ve google-cloud-sdk 460+ minimum sürüm.
- Sertifika expiry monitoring genelde unutuluyor; Prometheus exporter ile 30 gün önceden alarm şart.
- Cross-account/cross-project federation policy karmaşıklığı kontrol dışına çıkıyor; Terraform module ile codify edilmeli.
- Kubernetes pod kimliği için IRSA veya GKE WI annotation’ları kümeler arası tutarsızlık yaratabiliyor.
- Audit log volume tahmini düşük yapılıyor; production öncesi 7 gün shadow test yapılmalı.
Sonuç
2026’da AWS IAM Roles Anywhere ve GCP Workload Identity Federation artık opsiyonel best practice değil, kurumsal zero-trust mimarisinin temel pillar’ı. AWS PKI tabanlı yaklaşımıyla on-prem ve heterojen ortamlar için güçlü bir model sunarken GCP OIDC tabanlı federation ile CI/CD entegrasyonunda en hafif friction’ı sağlıyor. AWS IAM Roles Anywhere dokümantasyonu ve GCP WIF dokümantasyonu implementation rehberlerini detaylandırıyor. Hibrit cloud kuruluşlar için ideal yaklaşım her iki çözümü de devreye almak; tek bir provider’a bağımlılık operasyonel risk taşıyor. WIF migration’ı 12-16 haftalık disiplinli proje yönetimiyle yapıldığında credential sızıntı riski yüzde 97 azalıyor.
Sıkça Sorulan Sorular
WIF mevcut IAM kullanıcılarımı silmeli mi?
Hayır, migration aşamalı yapılmalı. Önce yeni workload’ları WIF ile başlatın, sonra mevcut 300-800 IAM kullanıcısını 8-14 haftada migrate edin; AWS 2026 sonunda yeni IAM user creation’ı default kısıtlamayı planlıyor.
AWS IAM Roles Anywhere ile GCP WIF aynı anda kullanılabilir mi?
Evet, hibrit cloud kuruluşlarda ideal yaklaşım iki provider’ı paralel kullanmaktır; ENISA 2025 raporu Avrupa kurumlarında yüzde 64 oranında multi-cloud WIF benimsemesi olduğunu belgeliyor.
WIF için ek lisans maliyeti var mı?
GCP WIF ücretsiz; AWS IAM Roles Anywhere 0,11 USD/aktif anchor/saat fiyatlandırılıyor ve Private CA için aylık 290 USD ek baz maliyet getiriyor.
Sertifika rotation otomasyonu nasıl yapılır?
HashiCorp Vault PKI veya Smallstep ile 24 saatte rotation, AWS Private CA için aws-iam-rolesanywhere-helper aracı önerilir; Prometheus ile 30 gün önceden expiry alarmı zorunlu.
WIF performans etkisi nedir?
AWS IAM Roles Anywhere token alımı 178 ms ortalama, GCP WIF 92 ms ortalama gecikme getiriyor; cold-start senaryolarında credential cache mekanizması ile bu süre yüzde 70 azaltılabilir.
Ömer Önal
Mayıs 23, 2026Statik AWS access key dönemi kapanıyor. Müşteri projelerinde WIF migration’ı 12-16 hafta sürüyor ama credential sızıntı riski yüzde 97 azalıyor. AWS IAM Roles Anywhere PKI yatırımı gerektiriyor; GCP WIF ise GitHub Actions için pratik. Hibrit cloud kuruluşlar her ikisini paralel kullanmalı; tek provider’a bağımlılık operasyonel risk taşıyor.