プロファイル適用性: レベル 2 - マスターノード
サービスアカウント管理を自動化する。
ポッドを作成する際にサービスアカウントを指定しない場合、同じネームスペース内の
defaultサービスアカウントが自動的に割り当てられます。独自のサービスアカウントを作成し、APIサーバーにそのセキュリティトークンを管理させるべきです。 |
注意デフォルトでは、
ServiceAccount が設定されています。 |
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-apiserver
--disable-admission-plugins 引数が ServiceAccount を含まない値に設定されていることを確認してください。修復
ドキュメントに従って、環境に応じて
ServiceAccountオブジェクトを作成します。次に、マスターノード上のAPIサーバーポッド仕様ファイル/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、--disable-admission-pluginsパラメータにServiceAccountが含まれていない値が設定されていることを確認します。