プロファイル適用性: レベル2 - マスターノード
サービスアカウント管理を自動化します。
Podを作成する際にサービスアカウントを指定しない場合、同じネームスペース内で自動的に
defaultサービスアカウントが割り当てられます。独自のサービスアカウントを作成し、APIサーバにそのセキュリティトークンを管理させるべきです。 |
注意デフォルトでは、
ServiceAccountが設定されています。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--disable-admission-plugins引数がServiceAccountを含まない値に設定されていることを確認してください。修復
ドキュメントに従い、環境に応じて
ServiceAccountオブジェクトを作成してください。その後、マスターノード上のAPIサーバポッド仕様ファイル /etc/kubernetes/manifests/kube-apiserver.yamlを編集し、--disable-admission-pluginsパラメータがServiceAccountを含まない値に設定されていることを確認してください。