Profilanwendbarkeit: Stufe 1 - Masterknoten
Das
default-Dienstkonto sollte nicht verwendet werden, um sicherzustellen, dass die den Anwendungen
gewährten Rechte leichter geprüft und überprüft werden können.Kubernetes stellt ein
Standard-Servicekonto bereit, das von Cluster-Workloads verwendet wird, bei denen kein spezifisches
Servicekonto dem Pod zugewiesen ist. Wenn ein Zugriff auf die Kubernetes-API von einem
Pod erforderlich ist, sollte ein spezifisches Servicekonto für diesen Pod erstellt
und diesem Servicekonto Rechte zugewiesen werden. Das Standard-Servicekonto sollte
so konfiguriert werden, dass es kein Servicekonto-Token bereitstellt und keine expliziten
Rechtezuweisungen hat. |
HinweisStandardmäßig erlaubt das
default-Dienstkonto, dass sein Dienstkontotoken in Pods innerhalb seines Namensraums eingebunden
wird. |
Auswirkung
Alle Workloads, die Zugriff auf die Kubernetes-API benötigen, erfordern die Erstellung
eines expliziten Servicekontos.
Prüfung
Überprüfen Sie für jeden Namespace im Cluster die Rechte, die dem Standard-Servicekonto
zugewiesen sind, und stellen Sie sicher, dass ihm keine Rollen oder Clusterrollen
zugewiesen sind, außer den Standardrollen.
Stellen Sie außerdem sicher, dass die Einstellung
automountServiceAccountToken: false für jedes Standard-Servicekonto vorhanden ist.Wiederherstellung
Erstellen Sie explizite Dienstkonten, wo immer ein Kubernetes-Workload spezifischen
Zugriff auf den Kubernetes-API-Server benötigt.
Ändern Sie die Konfiguration jedes Standarddienstkontos, um diesen Wert einzuschließen:
automountServiceAccountToken: false