プロファイル適用性: レベル1 - マスターノード
デフォルトでは、Kubernetesはサービスアカウントトークンの有効期間を1年に延長し、従来のトークン設定からの移行を支援します。
このデフォルト設定は、最大トークン有効期間に関連する他の設定を無視するため、セキュリティには理想的ではありません。これにより、紛失または盗難された認証情報が長期間有効になる可能性があります。
 |
注意デフォルトでは、このパラメータは
trueに設定されています。 |
影響
この設定を無効にすると、クラスターで設定されたサービスアカウントトークンの有効期限が適用され、サービスアカウントトークンはその期間の終わりに期限切れになります。
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--service-account-extend-token-expiration引数がfalseに設定されていることを確認してください。
修復
コントロールプレーンノード上のAPIサーバポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、--service-account-extend-token-expirationパラメータをfalseに設定します。--service-account-extend-token-expiration=false