Profilanwendbarkeit: Stufe 1
Die spezielle Gruppe
system:masters sollte nicht verwendet werden, um Berechtigungen an Benutzer oder Dienstkonten zu
erteilen, es sei denn, dies ist unbedingt erforderlich (z. B. um den Zugriff vor der
vollständigen Verfügbarkeit von RBAC zu ermöglichen).Die
system:masters-Gruppe hat uneingeschränkten Zugriff auf die Kubernetes-API, die fest im Quellcode
des API-Servers verankert ist. Ein authentifizierter Benutzer, der Mitglied dieser
Gruppe ist, kann seinen Zugriff nicht reduzieren, selbst wenn alle Bindungen und Clusterrollenbindungen,
die sie erwähnen, entfernt werden.In Kombination mit der Client-Zertifikat-Authentifizierung kann die Verwendung dieser
Gruppe dazu führen, dass unwiderrufliche
cluster-admin-Level-Anmeldeinformationen für einen Cluster existieren. |
HinweisStandardmäßig erstellen einige Cluster ein "Notfall"-Client-Zertifikat, das Mitglied
dieser Gruppe ist. Der Zugriff auf dieses Client-Zertifikat sollte sorgfältig kontrolliert
werden und es sollte nicht für allgemeine Cluster-Operationen verwendet werden.
|
Auswirkung
Sobald das RBAC-System in einem Cluster betriebsbereit ist, sollte
system:masters nicht speziell erforderlich sein, da gewöhnliche Bindungen von Prinzipalen zur cluster-admin-Clusterrolle vorgenommen werden können, wo uneingeschränkter Zugriff erforderlich
ist.Prüfung
Überprüfen Sie eine Liste aller Anmeldedaten, die Zugriff auf den Cluster haben, und
stellen Sie sicher, dass die Gruppe
system:masters nicht verwendet wird.Wiederherstellung
Entfernen Sie die
system:masters-Gruppe von allen Benutzern im Cluster.