設定檔適用性:等級 1 - 主節點
不應使用
預設服務帳戶,以確保更容易審核和檢查授予應用程式的權限。Kubernetes 提供了一個
default 服務帳戶,該帳戶用於未分配特定服務帳戶給 Pod 的叢集工作負載。當需要從 Pod 訪問 Kubernetes API 時,應為該 Pod 創建一個特定的服務帳戶,並授予該服務帳戶權限。應配置預設服務帳戶,使其不提供服務帳戶令牌且沒有任何明確的權限分配。 |
注意預設情況下,
default 服務帳戶允許其服務帳戶令牌掛載在其命名空間中的 Pod。 |
影響
所有需要訪問 Kubernetes API 的工作負載都需要創建一個明確的服務帳戶。
稽核
對叢集中的每個命名空間,檢查分配給預設服務帳戶的權限,並確保除了預設值外,沒有綁定任何角色或叢集角色。
另外,請確保每個預設服務帳戶都設有
automountServiceAccountToken: false 設定。補救措施
在 Kubernetes 工作負載需要特定訪問 Kubernetes API 伺服器時,創建明確的服務帳戶。
修改每個預設服務帳戶的配置以包含此值:
automountServiceAccountToken: false