設定檔適用性:等級 1 - 工作節點
Kubernetes 角色和 ClusterRoles 根據一組物件和可以對這些物件執行的操作來提供對資源的訪問權限。可以將其中任何一個設置為通配符 "*",以匹配所有項目。
從安全角度來看,使用萬用字元並非最佳選擇,因為當新資源以 CRD 形式或在產品的後續版本中添加到 Kubernetes API 時,可能會允許無意中授予訪問權限。
最小權限原則建議僅為使用者提供其角色所需的訪問權限,不多也不少。使用萬用字元權限授予可能會為 Kubernetes API 提供過多的權限。
稽核
檢索叢集中每個命名空間中定義的角色並檢查是否有萬用字元:
kubectl get roles --all-namespaces -o yaml
檢索叢集中定義的叢集角色並檢查是否有萬用字元:
kubectl get clusterroles -o yaml
補救措施
在可能的情況下,將 clusterroles 和 roles 中使用的任何萬用字元替換為特定的對象或操作。