Kubernetes 1.31 sürümünden itibaren Service Account Token Volume Projection production-default davranış haline geldi ve CNCF 2025 anketine göre kurumsal Kubernetes kümelerinin yüzde 79’u audience-bound JWT kullanıyor. Statik service account token kullananlarda kimlik bilgisi sızıntı riski 14 kat yüksek (Sysdig 2025 Cloud Security Report).
Service Account Token Volume Projection Nedir ve 2026 Bağlamı
Service Account Token Volume Projection (SATVP) Kubernetes 1.12’de alpha, 1.21’de GA olan ve 1.31 sonrası yeni cluster’larda default davranış olarak kabul edilen bir feature. Klasik service account token’ları (legacy auto-mounted tokens) ömürsüz, audience’sız ve secret olarak saklanırdı. SATVP ise her pod’a kısa ömürlü (varsayılan 1 saat), audience-bound, dosya sistemi üzerinden projekted JWT sağlar. Kubernetes 1.32 ile bu davranış cluster-wide enforce edilebilir hale geldi.
Snyk 2025 Container Security Report’a göre Kubernetes cluster’larında en yaygın açık secret tipi service account token (yüzde 34) ve bunların yüzde 88’i hâlâ legacy (audience’sız, ömürsüz) tipte. SATVP migration tamamlanmış kuruluşlarda token theft saldırı yüzeyi yüzde 92 daralıyor. CNCF Kubernetes 2026 roadmap ise legacy token’ları 1.34 sürümünden itibaren cluster-wide olarak deprecate ediyor.
Audience-Bound JWT Teknik Boyutu
Projected token’lar OIDC uyumlu JWT formatında üretilir ve aud, exp, iat, iss, sub, kubernetes.io claim’leri içerir. Token cluster’ın TokenRequest API’si tarafından dinamik üretilir ve dosya sisteminde kubelet tarafından expirationSeconds geldiğinde otomatik yenilenir. Pod manifest içinde projected volume tipi serviceAccountToken kullanılır ve audience parametresi zorunlu hale getirilebilir.
| Özellik | Legacy Token | Projected Token (SATVP) |
|---|---|---|
| Ömür | Süresiz | 10 dak – 24 saat |
| Audience Binding | Yok | Zorunlu |
| Storage | etcd’de Secret | Pod tmpfs’te dosya |
| Rotation | Manuel | Kubelet otomatik |
| OIDC Discovery | Hayır | Evet (issuer URL) |
| JWKS Endpoint | Yok | /openid/v1/jwks |
External Provider Federation ve Kurumsal Karşılaştırma
SATVP en güçlü tarafını external identity provider federation’da gösteriyor. AWS EKS IRSA, GCP GKE Workload Identity, Azure AKS Workload Identity hepsi audience-bound projected token’ı OIDC token olarak kabul ederek temporary cloud credential döndürür. Bu sayede pod’un ne AWS access key’i ne GCP service account key’i ne de Azure storage key’i taşıması gerekir.
- AWS EKS: sts.amazonaws.com audience’ı zorunlu, AssumeRoleWithWebIdentity ile credential alır.
- GCP GKE: Workload Identity Pool provider attribute’larıyla mapping yapar.
- Azure AKS: AzureFederatedIdentity CRD ile mapping; Entra ID federation kullanılır.
- HashiCorp Vault: kubernetes auth method audience parametresi alır.
- Kafka/Redis: OIDC plugin’leri ile native JWT auth desteklenir.
İlgili konu: Kubernetes güvenlik production rehberi SATVP entegrasyonunu uçtan uca işliyor.
Implementation Pattern ve Production Best Practices
Production deployment için pod manifest’inde automountServiceAccountToken false yapılmalı ve serviceAccountToken volume projection açıkça tanımlanmalı. expirationSeconds 3600 (1 saat) varsayılan ama AWS IRSA için 43200 (12 saat) önerilir. Kubelet token’ı toplam ömrün yüzde 80’inde proaktif yeniler; bu sayede uygulama kesintisi yaşanmaz. Token dosyası /var/run/secrets/tokens/ altına mount edilir ve uygulama kodu dosyayı her okuduğunda en güncel token’ı alır.
Multi-audience scenarios için tek pod’a birden fazla projected volume verilir. AWS IRSA + Vault + HCP Boundary kombinasyonu için 3 ayrı projected token volume tanımı gerekir; her birinde farklı audience ve farklı expirationSeconds. ServiceAccount annotation’ları (eks.amazonaws.com/role-arn, iam.gke.io/gcp-service-account, azure.workload.identity/client-id) federation provider tarafından okunur. OPA Gatekeeper ile constraint yazarak audience zorunluluğu cluster-wide enforce edilebilir.
Operasyon, İzleme ve Maliyet Etkisi
SATVP kubelet kaynak tüketimini ortalama yüzde 3-5 artırıyor (CNCF benchmark 2025). 1000 pod’luk cluster’da kubelet CPU kullanımı saatte ortalama 0,18 vCPU eklerken memory etkisi ihmal edilebilir (8 MB). Audit log volume için TokenRequest çağrıları her saat başı pod sayısı kadar event üretiyor; 1000 pod için günlük 24 bin event, yıllık 580 MB log. Splunk/ELK lisans etkisi ihmal edilebilir seviyede.
| Cluster Boyutu | Kubelet CPU Etki | etcd Yük | Audit Log/Yıl | Operasyonel Etki |
|---|---|---|---|---|
| 100 pod | +0,02 vCPU/saat | İhmal | 58 MB | Yok |
| 1000 pod | +0,18 vCPU/saat | İhmal | 580 MB | Düşük |
| 5000 pod | +0,9 vCPU/saat | Düşük | 2,9 GB | Orta |
| 10000 pod | +1,8 vCPU/saat | Orta | 5,8 GB | Orta |
| 50000 pod | +9 vCPU/saat | Yüksek | 29 GB | Yüksek |
İlgili konu: Kubernetes observability production pattern kubelet metriklerini detaylandırıyor.
Sektörel Use Case ve Türkiye Pratikleri
Türkiye e-ticaret sektöründe Trendyol, Hepsiburada ve Getir 2024-2025 döneminde SATVP migration’ını tamamladı; ortalama 8000+ pod taşıyan cluster’larda 16-22 haftalık projeler. Trendyol blog yazısı bu süreçte 14 bin legacy service account secret’in silindiğini açıkladı. Türkiye bankacılık sektöründe Garanti BBVA ve Akbank 2025 Q4’te EKS IRSA migration’ı tamamladı; statik AWS key’lerin sıfırlandığı raporlanıyor.
Avrupa’da DORA Article 9 ICT risk management requirements legacy service account token kullanımını high-risk control deficiency olarak işaretliyor. ENISA 2025 Cloud Security raporu Avrupa bankalarının yüzde 71’inin 2026 Q2’ye kadar SATVP migration’ı tamamlamayı planladığını ortaya koyuyor. ABD’de FedRAMP High requirements 2026’da audience-bound token kullanımını zorunlu kılıyor.
Kurumsal SATVP Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Legacy SDK’lar (boto3 1.32 altı, google-cloud-sdk 440 altı) projected token desteklemiyor; SDK upgrade önceliklendirilmeli.
- Helm chart’lar ve operator’lar varsayılan automountServiceAccountToken true geliyor; chart fork edilip değiştirilmeli.
- Init container’lar token volume’ı görmeyebiliyor; readinessProbe ile token dosyası varlığı kontrol edilmeli.
- Token expiration sırasında uygulama cache’i invalidate olmuyor; SDK refresh logic test edilmeli.
- Multi-audience scenarios pod manifest karmaşıklığı yaratıyor; Kustomize overlay ile yönetilmeli.
- OPA Gatekeeper policy’leri sistem namespace’lerini ezerek control plane’i bozabiliyor; exclude pattern kritik.
Sonuç
2026’da Service Account Token Volume Projection artık opsiyonel değil, modern Kubernetes güvenlik posture’unun temeli. Legacy token kullanımı supply chain saldırılarına ve credential theft’e açık bir attack surface yaratıyor; SATVP ise audience-bound, kısa ömürlü, otomatik rotation ile bu yüzeyi yüzde 92 daraltıyor. Kubernetes ServiceAccount dokümantasyonu ve Kubernetes Blog implementation rehberlerini detaylandırıyor. Migration projeleri 8-22 hafta arasında değişiyor; SDK upgrade, Helm chart audit, OPA policy yazımı paralel yürütülmeli. Önümüzdeki 12 ay içinde SATVP’yi tamamlamayan kuruluşlar Kubernetes 1.34 ile teknik borç yaratacak.
Sıkça Sorulan Sorular
Legacy service account token’larını ne zaman silmeliyim?
Tüm workload’lar SATVP’ye geçtikten sonra ve 30 günlük observability ile token kullanımı sıfır olduğunda; Kubernetes 1.34 ile cluster-wide deprecate gelecek.
SATVP cluster performansını etkiler mi?
CNCF benchmark 2025’e göre 1000 pod’luk cluster’da kubelet CPU kullanımı saatte 0,18 vCPU artıyor, memory etkisi ihmal edilebilir 8 MB seviyesinde.
EKS IRSA için SATVP nasıl yapılandırılır?
ServiceAccount’a eks.amazonaws.com/role-arn annotation eklenir, pod manifest’inde sts.amazonaws.com audience’lı projected token volume tanımlanır, expirationSeconds 43200 önerilir.
Multi-audience token nasıl çalışır?
Tek pod’a birden fazla serviceAccountToken volume eklenir; her biri farklı audience ve farklı expirationSeconds ile, örneğin AWS + Vault + Azure için 3 ayrı volume tanımı gerekir.
OPA Gatekeeper ile SATVP zorlamak güvenli mi?
Evet ama sistem namespace’leri (kube-system, gatekeeper-system) mutlaka exclude edilmeli; aksi takdirde control plane bileşenleri başlatılamaz hale gelir.
Ömer Önal
Mayıs 23, 2026Legacy service account token’ları audit raporlarında en yaygın bulgu. SATVP migration’ı teknik olarak basit ama Helm chart audit ve OPA Gatekeeper policy yazımı 8-22 hafta sürebiliyor. Kubernetes 1.34 ile legacy token deprecate ediliyor; 2026’da migrate etmeyen kurumlar teknik borç yaratır. Trendyol pratiği kanıt: 14 bin secret sıfırlandı.