プロファイルの適用範囲: レベル 1
すべてのリクエストを許可しないでください。明示的な承認を有効にしてください。
Kubeletはデフォルトで、APIサーバからの明示的な認可チェックを必要とせずに、すべての認証済みリクエスト (匿名リクエストも含む) を許可します。この動作を制限し、明示的に認可されたリクエストのみを許可するようにすべきです。
 |
注意デフォルトでは、OpenShift は
Webhook 認証を使用します。 |
影響
不正なリクエストは拒否されます。
監査
OpenShift 4では、Kubernetes構成ファイルはMachine Config Operatorによって管理されます。デフォルトでは、OpenShiftは認証されていないおよび権限のないユーザを拒否します。
次のコマンドを使用して、クラスタ内の各ノードが認証されたユーザのみを受け入れるように構成されていることを確認できます:
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authorization.mode'
done
ノードのいずれも認証モードに
AlwaysAllowを返さないことを確認してください。