プロファイル適用性: レベル1 - マスターノード
コントローラーマネージャのサービスアカウントに対して、サービスアカウントのプライベートキーファイルを明示的に設定します。
サービスアカウントトークンのキーを必要に応じてローテーションできるようにするために、サービスアカウントトークンの署名には別の公開/秘密鍵ペアを使用する必要があります。秘密鍵は、適切に
--service-account-private-key-fileを使用してコントローラーマネージャに指定する必要があります。 |
注意デフォルトでは、
--service-account-private-key-fileは設定されていません。 |
影響
キー ファイルを安全に管理し、組織のキー ローテーション ポリシーに基づいてキーをローテーションする必要があります。
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-controller-manager
--service-account-private-key-file 引数が適切に設定されていることを確認してください。修復
コントロールプレーンノード上のコントローラーマネージャーポッド仕様ファイル
/etc/kubernetes/manifests/kube-controller-manager.yamlを編集し、--service-account-private-key-fileパラメータをサービスアカウントの秘密鍵ファイルに設定します。--service-account-private-key-file=<filename>