プロファイル適用性: レベル 1 - マスターノード
コントローラーマネージャーのサービスアカウントに対して、サービスアカウントのプライベートキー ファイルを明示的に設定します。
サービスアカウントトークンのキーを必要に応じてローテーションできるようにするために、サービスアカウントトークンの署名には別の公開/秘密鍵ペアを使用する必要があります。秘密鍵は、適切に
--service-account-private-key-fileを使用してコントローラーマネージャーに指定する必要があります。 |
注意デフォルトでは、
--service-account-private-key-file は設定されていません。 |
影響
キー ファイルを安全に管理し、組織のキー ローテーション ポリシーに基づいてキーをローテーションする必要があります。
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-controller-manager
--service-account-private-key-file 引数が適切に設定されていることを確認してください。修復
コントローラーマネージャーポッドの仕様ファイル
/etc/kubernetes/manifests/kube-controller-manager.yaml をコントロールプレーンノードで編集し、--service-account-private-key-file パラメータをサービスアカウントの秘密鍵ファイルに設定します。--service-account-private-key-file=<filename>