配置檔適用性:級別 1
特殊群組
system:masters 不應用於授予任何用戶或服務帳戶權限,除非在絕對必要的情況下(例如,在 RBAC 完全可用之前的啟動訪問)。system:masters 群組對 Kubernetes API 擁有不受限制的訪問權限,這一點已經硬編碼在 API 伺服器的源代碼中。即使所有提及該群組的綁定和叢集角色綁定被移除,作為該群組成員的已驗證用戶也無法降低其訪問權限。當與用戶端憑證驗證結合使用時,使用此群組可以允許在叢集中存在不可撤銷的
cluster-admin 級別憑證。 |
注意根據預設,某些叢集將創建一個「緊急用戶端憑證」,該憑證是此群組的成員。對此用戶端憑證的訪問應該受到嚴格控制,並且不應用於一般的叢集操作。
|
影響
一旦 RBAC 系統在集群中運行,
system:masters 不應被特別要求,因為可以在需要不受限制訪問的情況下,將主體與 cluster-admin 集群角色進行普通綁定。審計
檢查所有具有訪問集群的憑證列表,並確保未使用群組
system:masters。補救
從叢集中的所有用戶中移除
system:masters 群組。