設定檔適用性:等級 1 - 主節點
在驗證權杖之前驗證服務帳戶。
如果
--service-account-lookup 未啟動,apiserver 只會驗證驗證令牌是否有效,而不會驗證請求中提到的服務帳戶令牌是否實際存在於 etcd 中。這允許在刪除相應的服務帳戶後仍然使用服務帳戶令牌。這是一個檢查時間到使用時間的安全問題示例。 |
注意預設情況下,
--service-account-lookup 參數設置為 true。 |
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--service-account-lookup 參數是否存在,若存在則設為 true。補救
編輯控制平面節點上的 API 伺服器 Pod 規範檔案 /etc/kubernetes/manifests/kube-apiserver.yaml,並設定以下參數。
--service-account-lookup=true
或者,您可以從此檔案中刪除
--service-account-lookup參數,以便預設值生效。