プロファイル適用性: レベル 1 - マスターノード
トークンを検証する前にサービスアカウントを検証します。
--service-account-lookup が有効になっていない場合、apiserver は認証トークンが有効であることのみを確認し、リクエストで言及されているサービスアカウントトークンが実際に etcd
に存在するかどうかを検証しません。これにより、対応するサービスアカウントが削除された後でもサービスアカウントトークンを使用することができます。これは、チェック時点から使用時点までのセキュリティ問題の一例です。 |
注意デフォルトでは、
--service-account-lookup 引数は true に設定されています。 |
監査
コントロールプレーンノードで次のコマンドを実行してください:
ps -ef | grep kube-apiserver
--service-account-lookup 引数が存在する場合、それが true に設定されていることを確認してください。修復
コントロールプレーンノードの API サーバーポッド仕様ファイル /etc/kubernetes/manifests/kube-apiserver.yaml を編集し、以下のパラメータを設定します。
--service-account-lookup=true
あるいは、このファイルから
--service-account-lookupパラメータを削除して、デフォルトが有効になるようにすることもできます。