4.1.6 - Vermeiden Sie die Verwendung der Gruppe system:masters (Automatisiert)

Profilanwendbarkeit: Stufe 1

Die spezielle Gruppe system:masters sollte nicht verwendet werden, um Berechtigungen für Benutzer oder Dienstkonten zu gewähren, außer wenn es unbedingt erforderlich ist (z. B. um Zugriff vor der vollständigen Verfügbarkeit von RBAC zu ermöglichen)

Die system:masters-Gruppe hat uneingeschränkten Zugriff auf die Kubernetes-API, die fest im Quellcode des API-Servers verankert ist. Ein authentifizierter Benutzer, der Mitglied dieser Gruppe ist, kann seinen Zugriff nicht reduzieren, selbst wenn alle Bindungen und Cluster-Rollenbindungen, die sie erwähnen, entfernt werden.

In Kombination mit der Client-Zertifikat-Authentifizierung kann die Verwendung dieser Gruppe dazu führen, dass unwiderrufliche Cluster-Admin-Berechtigungen für einen Cluster existieren.

GKE enthält den CertificateSubjectRestriction-Admission-Controller, der Anfragen für die system:masters-Gruppe ablehnt.

CertificateSubjectRestriction "Dieser Admission-Controller beobachtet die Erstellung von CertificateSigningRequest-Ressourcen, die einen spec.signerName von kubernetes.io/kube-apiserver-client haben. Er lehnt jede Anfrage ab, die eine 'Gruppe' (oder 'Organisationsattribut') von system:masters angibt." Siehe die Kubernetes-Dokumentation für weitere Informationen.