プロファイル適用性: レベル 1 - マスターノード
名前空間でポッドを作成する機能は、これらのポッドに特権サービスアカウントを割り当てたり、機密データへのアクセスを持つhostPathをマウントしたりするなど、特権昇格の機会を提供する可能性があります(このアクセスを制限するためにPod
Security Policiesが実装されていない限り)。
そのため、新しいポッドを作成するアクセスは、可能な限り少数のユーザに制限する必要があります。
クラスター内でポッドを作成する能力は、特権の昇格の可能性を広げるため、可能な限り制限する必要があります。
 |
注意デフォルトでは、kubeadm クラスター内の次のプリンシパルが
pod オブジェクトに対して create 権限を持っています。 |
影響
ポッドへのアクセスを必要とするシステムコンポーネントの操作に支障が出ないように注意してください。
監査
ユーザがKubernetes APIでポッドオブジェクトに作成アクセス権を持っているか確認してください。
修復
可能であれば、クラスター内の
podオブジェクトへのcreateアクセスを削除してください。