設定檔適用性:等級 1 - 主節點
Kubernetes API 儲存秘密,這些秘密可能是 Kubernetes API 的服務帳戶令牌或叢集中工作負載使用的憑證。對這些秘密的訪問應限制在最小範圍的使用者群體內,以減少權限升級的風險。
對儲存在 Kubernetes 叢集中的機密進行不當訪問,可能會使攻擊者獲得對 Kubernetes 叢集或其憑證以機密形式儲存的外部資源的額外訪問權限。
 |
注意在 kubeadm 叢集中,預設情況下,以下主體列表對
secret 物件具有 get 權限。 |
影響
應注意不要移除系統元件運行所需的機密存取權。
稽核
審查在 Kubernetes API 中對
secrets 物件具有 get、list 或 watch 訪問權限的使用者。補救措施
在可能的情況下,移除對叢集中
secret物件的get、list和watch存取權限。