プロファイル適用性: レベル1 - マスターノード
RBACロール
cluster-adminは環境に対して広範な権限を提供するため、必要な場合にのみ使用してください。Kubernetesは、RBACが使用されるデフォルトの役割セットを提供します。これらの役割の中には、
cluster-adminのように広範な特権を提供するものがあり、絶対に必要な場合にのみ適用されるべきです。cluster-adminのような役割は、任意のリソースに対して任意のアクションを実行するスーパーユーザアクセスを許可します。ClusterRoleBindingで使用されると、クラスター内およびすべてのネームスペースでのすべてのリソースに対する完全な制御を提供します。RoleBindingで使用されると、ロールバインディングのネームスペース内のすべてのリソースに対する完全な制御を提供し、ネームスペース自体も含まれます。 |
注意デフォルトでは、
system:mastersグループの主要なものとしてcluster-adminという名前の単一のclusterrolebindingが提供されます。 |
影響
環境から
clusterrolebindingsを削除する前に、それがクラスタの運用に必要でないことを確認する必要があります。特に、システムコンポーネントの運用に必要なため、system:プレフィックスを持つclusterrolebindingsに変更を加えてはいけません。監査
cluster-adminロールにアクセスできるプリンシパルのリストを取得するには、cluster-adminロールにアクセスできる各ロールバインディングのclusterrolebinding出力を確認します。kubectl get clusterrolebindings -o=custom- columns=NAME:.metadata.name,ROLE:.roleRef.name,SUBJECT:.subjects[*].name
記載されている各プリンシパルを確認し、
cluster-admin権限が必要であることを確認してください。修復
すべての
clusterrolebindingsをcluster-adminロールに特定します。それらが使用されているか、このロールが必要か、またはより少ない権限のロールを使用できるかを確認してください。可能であれば、まずユーザを低い権限の役割にバインドし、その後
clusterrolebindingをcluster-admin役割から削除してください。kubectl delete clusterrolebinding [name]