設定檔適用性:等級 1
除非在絕對必要的情況下(例如在 RBAC 完全可用之前的引導存取),否則不應使用特殊群組
system:masters 來授予任何使用者或服務帳戶權限system:masters 群組在 API 伺服器的原始碼中被硬性設定為對 Kubernetes API 擁有不受限制的存取權限。即使移除了所有提及此群組的綁定和叢集角色綁定,作為該群組成員的已驗證使用者,其存取權限仍無法被降低。當與用戶端憑證驗證結合使用時,使用此群組可以讓不可撤銷的 cluster-admin 級別憑證存在於叢集中。
GKE 包含
CertificateSubjectRestriction 准入控制器,該控制器會拒絕 system:masters 群組的請求。CertificateSubjectRestriction "此准入控制器監控創建具有 spec.signerName 為 kubernetes.io/kube-apiserver-client 的 CertificateSigningRequest 資源。它會拒絕任何指定 'group'(或 'organization attribute')為 system:masters 的請求。" 請參閱 Kubernetes 文件 以獲取詳細資訊。 |
注意預設情況下,一些叢集會創建一個「破窗」用戶端憑證,該憑證是此群組的成員。對此用戶端憑證的存取應該嚴格控制,不應用於一般的叢集操作。
|
影響
一旦 RBAC 系統在叢集中運行,
system:masters 不應該被特別要求,因為可以在需要不受限制的訪問時,將主體與 cluster-admin 叢集角色進行普通綁定。稽核
檢查所有有權訪問叢集的憑證列表,並確保未使用群組
system:masters。補救
從叢集中的所有使用者中移除
system:masters群組。