設定檔適用性:級別 1
除非在 Pod 中運行的工作負載明確需要與 API 伺服器通信,否則不應在 Pod 中掛載服務帳戶令牌。
在 Pod 內掛載服務帳戶令牌可能會提供權限升級攻擊的途徑,使攻擊者能夠入侵叢集中的單個 Pod。
避免掛載這些令牌可以消除此攻擊途徑。
 |
注意預設情況下,所有 Pod 都會掛載一個服務帳戶憑證。
|
影響
未附加服務帳戶憑證的 Pods 將無法與 API 伺服器通信,除非該資源對未經身份驗證的主體可用。
稽核
檢查叢集中的 Pod 和服務帳戶物件,並確保以下選項已設定,除非資源明確需要此訪問。
將 SERVICE_ACCOUNT 和 POD 變數設置為適當的值:
automountServiceAccountToken: false
矯正性處理
修改不需要掛載服務帳戶令牌的 Pods 和服務帳戶的定義以關閉它。