Profilanwendbarkeit: Stufe 1 - Masterknoten
Das
default-Dienstkonto sollte nicht verwendet werden, um sicherzustellen, dass die den Anwendungen
gewährten Rechte leichter geprüft und überprüft werden können.Kubernetes stellt ein
default-Dienstkonto bereit, das von Cluster-Workloads verwendet wird, bei denen dem Pod kein
spezifisches Dienstkonto zugewiesen ist. Wenn von einem Pod aus auf die Kubernetes-API
zugegriffen werden muss, sollte ein spezifisches Dienstkonto für diesen Pod erstellt
und diesem Dienstkonto Rechte zugewiesen werden. Das Standard-Dienstkonto sollte so
konfiguriert werden, dass es kein Dienstkonto-Token bereitstellt und keine expliziten
Rechtezuweisungen hat. |
HinweisStandardmäßig erlaubt das
default-Dienstkonto, dass sein Dienstkontotoken in Pods in seinem Namespace eingebunden wird. |
Auswirkung
Alle Workloads, die Zugriff auf die Kubernetes-API benötigen, erfordern die Erstellung
eines expliziten Servicekontos.
Prüfung
Überprüfen Sie für jeden Namespace im Cluster die Rechte, die dem Standard-Servicekonto
zugewiesen sind, und stellen Sie sicher, dass ihm keine Rollen oder Clusterrollen
zugewiesen sind, außer den Standardrollen.
Stellen Sie außerdem sicher, dass die
automountServiceAccountToken: false-Einstellung für jedes Standarddienstkonto vorhanden ist.Wiederherstellung
Erstellen Sie explizite Dienstkonten, wenn ein Kubernetes-Workload spezifischen Zugriff
auf den Kubernetes-API-Server benötigt.
Ändern Sie die Konfiguration jedes Standarddienstkontos, um diesen Wert einzuschließen:
automountServiceAccountToken: false