ビュー:
プロファイル適用性: レベル1
ClusterRoleBindings system:basic-usersystem:discoverysystem:public-info-viewerを除き、system:authenticatedグループで非デフォルトのClusterRoleBindingsRoleBindingsを避けてください。
Googleの認証へのアプローチは、複雑な設定手順を追加することなく、Google CloudとGKEへの認証を可能な限り簡単かつ安全にすることです。グループsystem:authenticatedには、すべてのGmailアカウントを含むGoogleアカウントを持つすべてのユーザが含まれます。この拡張されたグループ範囲で権限を付与する際には、認可コントロールを考慮してください。したがって、グループsystem:authenticatedは非デフォルトの使用には推奨されません。
GKEは、Googleアカウントでサインインしているすべてのユーザによって行われたAPIサーバリクエストに対して、グループsystem:authenticatedを割り当てます。これは、誰でもGoogleアカウントを作成できるため、実際にはsystem:unauthenticatedと意味的に異なるものではありません。
グループsystem:authenticatedにロールをバインドすると、すべてのGmailアカウントを含むGoogleアカウントを持つユーザに、そのロールによって付与される権限が与えられるため、強く推奨されません。
初期設定:
ClusterRoleBindingsはグループsystem:unauthenticatedと共に: 
system:public-info-viewer
グループsystem:unauthenticatedRoleBindingsはありません。

影響

グループsystem:authenticatedの認証済みユーザは、system:unauthenticatedのユーザと同様に扱われ、設定されたバインディングに関連付けられた役割に関連する特権と権限を持つべきです。
環境から非デフォルトのclusterrolebindingsまたはrolebindingsを削除する前に、それらがクラスターの運用に必要でないことを確認する必要があります。クラスター操作には、より具体的で認証されたユーザを活用してください。

監査

次のコマンドを使用して、ClusterRoleBindingsからsystem:authenticatedまでに非デフォルトがないことを確認してください。
$ kubectl get clusterrolebindings -o json | jq -r '["Name"], ["-----"], 
(.items[] | select((.subjects | length) > 0) | select(any(.subjects[]; .name 
== "system:unauthenticated")) | [.metadata.namespace, .metadata.name]) | 
@tsv'
次のデフォルトClusterRoleBindingsのみが表示されるべきです。
Name 
----- 
               system:public-info-viewer
               system:discovery 
               system:public-info-viewer
デフォルト以外のバインディングが存在する場合、次のコマンドでその権限を確認し、特権を再評価してください。
$ kubectl get clusterrolebinding [CLUSTER_ROLE_BINDING_NAME] -o json \ 
    | jq ' .roleRef.name +" " + .roleRef.kind' \ 
    | sed -e 's/"//g' \ 
    | xargs -l bash -c 'kubectl get $1 $0 -o yaml'
system:authenticatedグループを含むRoleBindingsがないことを確認してください。
$ kubectl get rolebindings -A -o json \ 
    | jq -r '["Namespace", "Name"], ["---------", "-----"], (.items[] | 
select((.subjects | length) > 0) | select(any(.subjects[]; .name == 
"system:unauthenticated")) | [.metadata.namespace, .metadata.name]) | @tsv'
RoleBindingsはリストされていないはずです。
バインディングが存在する場合は、次のコマンドでその権限を確認し、特権を再評価してください。
$ kubectl get rolebinding [ROLE_BINDING_NAME] --namespace 
[ROLE_BINDING_NAMESPACE] -o json \ 
    | jq ' .roleRef.name +" " + .roleRef.kind' \ 
    | sed -e 's/"//g' \ 
    | xargs -l bash -c 'kubectl get $1 $0 -o yaml --namespace 
[ROLE_BINDING_NAMESPACE]'

修復

すべての非デフォルトclusterrolebindingsおよびrolebindingsをグループsystem:authenticatedに特定します。それらが使用されているか確認し、上記の監査セクションのコマンドを使用して、またはGKEドキュメントを参照して、バインディングに関連付けられた権限を確認してください。
デフォルトでない安全でないバインディングを、認証されたユーザ定義のグループに置き換えることを強く検討してください。可能であれば、最小特権ロールを持つデフォルトでないユーザ定義のグループにバインドしてください。
グループsystem:authenticatedにデフォルト以外の安全でないバインディングがある場合、必要かつ安全なバインディングのみでクラスタ操作を考慮した後に削除を進めてください。
kubectl delete clusterrolebinding 
[CLUSTER_ROLE_BINDING_NAME] 
kubectl delete rolebinding 
[ROLE_BINDING_NAME] 
--namespace 
[ROLE_BINDING_NAMESPACE]