プロファイル適用性: レベル 1 - マスターノード
default サービス アカウントは使用しないでください。これにより、アプリケーションに付与された権限をより簡単に監査およびレビューできるようになります。Kubernetes は、特定のサービスアカウントがポッドに割り当てられていないクラスターのワークロードで使用される
デフォルトのサービスアカウントを提供します。ポッドから Kubernetes API へのアクセスが必要な場合、そのポッド用に特定のサービスアカウントを作成し、そのサービスアカウントに権限を付与する必要があります。デフォルトのサービスアカウントは、サービスアカウントトークンを提供せず、明示的な権限の割り当てがないように構成する必要があります。 |
注意デフォルトでは、
default サービスアカウントは、そのサービスアカウントトークンがそのネームスペース内のポッドにマウントされることを許可します。 |
影響
Kubernetes API へのアクセスを必要とするすべてのワークロードには、明示的なサービスアカウントの作成が必要です。
監査
クラスター内の各ネームスペースについて、デフォルトのサービスアカウントに割り当てられた権限を確認し、デフォルト以外のロールやクラスター ロールがバインドされていないことを確認してください。
さらに、各デフォルトサービスアカウントに対して
automountServiceAccountToken: false設定が適用されていることを確認してください。修復
KubernetesワークロードがKubernetes APIサーバーへの特定のアクセスを必要とする場合は、明示的なサービスアカウントを作成してください。
各デフォルトサービスアカウントの構成を変更して、この値を含めます:
automountServiceAccountToken: false