設定檔適用性:等級 1 - 主節點
在命名空間中創建 pod 的能力可能會提供多種權限升級的機會,例如將特權服務帳戶分配給這些 pod 或掛載具有訪問敏感資料的 hostPath(除非實施了 Pod
安全策略來限制此訪問)。
因此,應將創建新 pod 的權限限制在最小範圍的使用者群體內。
在叢集中建立 pod 的能力會帶來權限升級的可能性,應在可能的情況下加以限制。
 |
注意在 kubeadm 叢集中,預設情況下,以下主體列表對
pod 物件具有 create 權限。 |
影響
應注意不要移除系統元件運行所需的 pod 訪問權限。
稽核
審查在 Kubernetes API 中具有 pod 物件建立權限的使用者。
補救措施
在可能的情況下,移除叢集中
pod物件的create存取權限。