Un'identità non umana è un account digitale utilizzato da software, servizi o workload automatizzati invece che da una persona. Può includere account di servizio, service principal, identità gestite, token API, certificati e altre credenziali machine-to-machine. Queste identità consentono alle applicazioni di autenticarsi, chiamare API, leggere dati ed eseguire attività pianificate senza accessi umani.
Sono importanti perché spesso si trovano al di fuori dei controlli usati per gli account utente. Se un'identità macchina non viene inventariata, assegnata e monitorata, i team di sicurezza possono non notare accessi con privilegi eccessivi, credenziali obsolete o percorsi di autenticazione nascosti. Gli aggressori prendono spesso di mira questi account perché possono offrire accesso persistente, rotazione debole e autorizzazioni ampie. Le difese si concentrano su inventario, proprietà chiara, privilegio minimo, rotazione dei secret, credenziali a breve durata e modelli di identità gestita che riducono la gestione manuale delle chiavi. In pratica, una buona governance delle identità non umane è una parte fondamentale della sicurezza del cloud.