プロファイル適用性: レベル1 - マスターノード
名前空間でポッドを作成する能力は、これらのポッドに特権サービスアカウントを割り当てたり、機密データへのアクセスを持つhostPathをマウントしたりするなど、特権昇格の機会を提供する可能性があります
(Podセキュリティポリシーがこのアクセスを制限するために実装されていない限り)。
したがって、新しいポッドを作成するアクセスは可能な限り最小のユーザグループに制限する必要があります。
クラスター内でポッドを作成する能力は、特権昇格の可能性を広げるため、可能な限り制限する必要があります。
 |
注意デフォルトでは、kubeadmクラスター内の次のプリンシパルが
podオブジェクトに対してcreate権限を持っています。 |
影響
システムコンポーネントが動作に必要とするポッドへのアクセスを削除しないよう注意してください。
監査
Kubernetes APIでポッドオブジェクトへの作成アクセス権を持つユーザを確認してください。
修復
可能であれば、
createのpodオブジェクトへのアクセスをクラスターから削除してください。