プロファイル適用範囲:レベル1 - クラスター/コントロールプレーン
KubernetesのRolesとClusterRolesは、許可されたオブジェクトとアクションのセットを定義することで、リソースへのアクセスを許可します。これらのロールをワイルドカードの「*」文字に設定することは、Kubernetes
APIに追加された新しいリソース(Custom Resource Definitions(CRDs)または将来のバージョンを通じて)へのアクセスを誤って許可することにより、セキュリティ上の脆弱性を引き起こす可能性があります。セキュリティ上の観点からは、このような実践は推奨されていません。なぜなら、最小限の特権の原則に反するため、ユーザーのアクセスを役割に必要なものに厳密に制限し、Kubernetes
API内で過剰な権限を提供することを避けることが求められるからです。
監査
クラスター内の各ネームスペースで定義されたロールを取得し、ワイルドカードを確認します:
kubectl get roles --all-namespaces -o yaml
クラスターで定義されたクラスター ロールを取得し、ワイルドカードを確認します:
kubectl get clusterroles -o yaml
修復
可能な場合は、clusterrolesおよびrolesでワイルドカードの使用を特定のオブジェクトやアクションに置き換えてください。