プロファイル適用性: レベル1 - マスターノード
KubernetesAPIは、KubernetesAPIのサービスアカウントトークンやクラスタ内のワークロードで使用される認証情報などの秘密を保存します。これらの秘密へのアクセスは、特権昇格のリスクを減らすために可能な限り少数のユーザに制限する必要があります。
Kubernetesクラスター内に保存された秘密への不適切なアクセスは、攻撃者がKubernetesクラスターや認証情報が秘密として保存されている外部リソースへの追加アクセスを得ることを可能にします。
 |
注意デフォルトでは、kubeadmクラスター内の次のプリンシパルが
secretオブジェクトに対してget権限を持っています。 |
影響
システムコンポーネントが動作に必要とする秘密へのアクセスを削除しないよう注意してください。
監査
KubernetesAPIの
secretsオブジェクトに対してget、list、またはwatchアクセス権を持つユーザを確認してください。修復
可能であれば、
secretオブジェクトへのget、list、watchアクセスをクラスターから削除してください。