プロファイル適用性: レベル1 - マスターノード
トークンを検証する前にサービスアカウントを検証してください。
--service-account-lookupが有効でない場合、apiserverは認証トークンが有効であることのみを確認し、リクエストで言及されたサービスアカウントトークンが実際にetcdに存在するかどうかを検証しません。これにより、対応するサービスアカウントが削除された後でもサービスアカウントトークンを使用することができます。これは、チェック時から使用時までのセキュリティ問題の例です。 |
注意デフォルトでは、
--service-account-lookup引数はtrueに設定されています。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--service-account-lookup引数が存在する場合、trueに設定されていることを確認してください。修復
コントロールプレーンノードの/etc/kubernetes/manifests/kube-apiserver.yamlファイルを編集し、以下のパラメータを設定してください。
--service-account-lookup=true
または、このファイルから
--service-account-lookupパラメータを削除して、デフォルトを有効にすることができます。