4.1.6 - Vermeiden Sie die Verwendung der Gruppe system:masters (Automatisiert)

Profilanwendbarkeit: Stufe 1

Die spezielle Gruppe system:masters sollte nicht verwendet werden, um Berechtigungen an Benutzer oder Dienstkonten zu erteilen, es sei denn, es ist unbedingt erforderlich (z. B. um den Zugriff vor der vollständigen Verfügbarkeit von RBAC zu ermöglichen)

Die system:masters-Gruppe hat uneingeschränkten Zugriff auf die Kubernetes-API, die fest im Quellcode des API-Servers verankert ist. Ein authentifizierter Benutzer, der Mitglied dieser Gruppe ist, kann seinen Zugriff nicht reduzieren, selbst wenn alle Bindungen und Cluster-Rollenbindungen, die sie erwähnen, entfernt werden.

In Kombination mit der Client-Zertifikat-Authentifizierung kann die Verwendung dieser Gruppe dazu führen, dass unwiderrufliche Cluster-Admin-Berechtigungen für einen Cluster existieren.

GKE enthält den Zulassungs-Controller CertificateSubjectRestriction, der Anfragen für die Gruppe system:masters ablehnt.

CertificateSubjectRestriction "Dieser Admission-Controller beobachtet die Erstellung von CertificateSigningRequest-Ressourcen, die einen spec.signerName von kubernetes.io/kube-apiserver-client haben. Er lehnt jede Anfrage ab, die eine 'Gruppe' (oder 'Organisationsattribut') von system:masters angibt." Siehe die Kubernetes-Dokumentation für weitere Informationen.