CIS Kubernetesコンプライアンスチェックを設定して、セキュリティポリシーの制御と標準のために免除されたユーザとロールのリストを維持します。これには、CISチェック5.1.1から5.1.4およびチェック5.1.6が含まれます。これらのチェックのエラーメッセージについては、PDFまたはCSVレポートを参照し、レポートのエラーに対処するためにCompliance
Scanningの対応する設定を更新してください。
CISベンチマークの詳細については、Kubernetes 1.9.0 の推奨事項をご覧ください。
以下の表は、CIS Kubernetes チェックのために更新すべきコンプライアンス設定を説明しています。
 |
注意更新を行った後、新しいスキャンを実行する前に、新しいコンプライアンス設定を保存してください。
|
| CISベンチマークチェック | コンプライアンススキャン構成設定 | 構成設定値 |
|
5.1.1
|
クラスター管理者ロール
|
ユーザ
|
|
5.1.2
|
シークレットの権限
|
ユーザ
|
|
5.1.3
|
ロールワイルドカード
|
Roles/cluster-rules
|
|
5.1.4
|
ポッド作成権限 |
ユーザ
|
|
5.1.6
|
Podにサービスアカウントトークンのマウントを許可する
|
ポッドのサービスアカウント
|
構成変更の例
例えば、CISチェック5.1.6の場合、次のような失敗メッセージが表示されることがあります:
"Pod サービスアカウント
coredns,kindnet は、automountServiceAccountToken が true に設定されたサービスアカウントトークンをマウントしています。Pod サービスアカウントを確認し、必要に応じて Pod サービスアカウントをチェックから除外するために
サービスアカウントトークンをマウントした Pod リストに追加してください。"コンプライアンススキャンページで、コンプライアンススキャンレポートの上記エラーメッセージに従って、「Allow Service Account Tokens on
Pods」のコンプライアンススキャン設定を「
coredns,kindnet」の値で追加できます。これらの構成設定を更新して保存した後、次のコンプライアンススキャンが実行されると、このチェックは合格するはずです。
|
注意CISコンプライアンスチェックがコンプライアンスレポートでエラーメッセージ
チェックを実行できませんでしたを返した場合は、サポートに連絡してください。 |