Ansichten:
Profilanwendbarkeit: Stufe 1
Service-Account-Token sollten nicht in Pods eingebunden werden, es sei denn, die im Pod laufende Arbeitslast muss explizit mit dem API-Server kommunizieren.
Das Einbinden von Dienstkontotoken in Pods kann einen Weg für Rechteausweitung-Angriffe bieten, bei denen ein Angreifer in der Lage ist, einen einzelnen Pod im Cluster zu kompromittieren.
Das Vermeiden der Einbindung dieser Tokens beseitigt diesen Angriffsweg.
Hinweis
Hinweis
Standardmäßig wird in allen Pods ein Servicekonto-Token eingebunden.

Auswirkung

Pods, die ohne Servicekonto-Token bereitgestellt werden, können nicht mit dem API-Server kommunizieren, es sei denn, die Ressource ist für nicht authentifizierte Benutzer verfügbar.

Prüfung

Überprüfen Sie Pod- und Servicekonto-Objekte im Cluster und stellen Sie sicher, dass die untenstehende Option gesetzt ist, es sei denn, die Ressource erfordert ausdrücklich diesen Zugriff.
Setzen Sie die Variablen SERVICE_ACCOUNT und POD auf geeignete Werte:
automountServiceAccountToken: false

Wiederherstellung

Ändern Sie die Definition von Pods und Dienstkonten, die keine Servicekontotoken einbinden müssen, um sie zu deaktivieren.