プロファイル適用性: レベル 1 - ワーカーノード
Kubernetes Roles と ClusterRoles は、オブジェクトのセットおよびそれらのオブジェクトに対して実行できるアクションに基づいてリソースへのアクセスを提供します。これらのいずれかをワイルドカード
"*" に設定して、すべての項目に一致させることが可能です。
ワイルドカードの使用は、セキュリティの観点から最適ではありません。新しいリソースがKubernetes APIにCRDとして、または製品の後のバージョンで追加された場合に、意図しないアクセスが許可される可能性があるためです。
最小特権の原則は、ユーザにその役割に必要なアクセスのみを提供し、それ以上は提供しないことを推奨します。ワイルドカード権限の使用は、Kubernetes API に過剰な権限を提供する可能性があります。
監査
各ネームスペースに定義されたロールをクラスター全体で取得し、ワイルドカードを確認します
kubectl get roles --all-namespaces -o yaml
クラスターに定義されたクラスター ロールを取得し、ワイルドカードを確認します:
kubectl get clusterroles -o yaml
修復
可能な場合は、clusterrolesおよびrolesでワイルドカードの使用を特定のオブジェクトやアクションに置き換えてください。