プロファイル適用性: レベル1
すべてのリクエストを許可しないでください。明示的な承認を有効にしてください。
デフォルトでは、KubeletはAPIサーバからの明示的な認可チェックなしに、すべての認証済みリクエスト (匿名のものも含む) を許可します。この動作を制限し、明示的に認可されたリクエストのみを許可するべきです。
 |
注意デフォルトでは、OpenShiftは
Webhook認証を使用します。 |
影響
不正なリクエストは拒否されます。
監査
OpenShift 4では、Kubernetes構成ファイルはMachine Config Operatorによって管理されます。デフォルトでは、OpenShiftは認証されていないユーザと許可されていないユーザを拒否します。
クラスター内の各ノードが認証済みユーザのみを受け入れるように構成されていることを確認するには、次のコマンドを使用します。
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authorization.mode'
done
ノードのいずれも認証モードに対して
AlwaysAllowを返さないことを確認してください。