プロファイル適用性: レベル 1 - マスターノード
Kubernetes APIはシークレットを保存します。これには、Kubernetes APIのサービスアカウントトークンや、クラスター内のワークロードで使用される認証情報が含まれる場合があります。これらのシークレットへのアクセスは、特権の昇格リスクを減らすために、可能な限り少数のユーザに制限する必要があります。
Kubernetesクラスター内に保存されているシークレットへの不適切なアクセスは、攻撃者がKubernetesクラスターや認証情報がシークレットとして保存されている外部リソースへの追加アクセスを得ることを可能にします。
 |
注意デフォルトでは、kubeadm クラスター内の次のプリンシパルが
secret オブジェクトに対して get 権限を持っています。 |
影響
システムコンポーネントが動作に必要とするシークレットへのアクセスを削除しないように注意してください。
監査
get、list、またはwatchアクセス権を持つユーザがKubernetes APIのsecretsオブジェクトにアクセスしているか確認してください。修復
可能であれば、クラスタ内の
secretオブジェクトへのget、list、およびwatchアクセスを削除してください。