設定檔適用性:等級 1 - 主節點
Kubernetes API 存儲秘密,這些秘密可能是 Kubernetes API 的服務帳戶令牌或集群中工作負載使用的憑證。應將對這些秘密的訪問限制在最小的使用者群組,以降低權限升級的風險。
不當存取儲存在 Kubernetes 叢集中的秘密可能使攻擊者獲得對 Kubernetes 叢集或憑證以秘密形式儲存的外部資源的額外存取權。
 |
注意在 kubeadm 叢集中,預設情況下,以下主體列表對
secret 物件具有 get 權限。 |
影響
應注意不要移除系統元件運行所需的機密存取權限。
稽核
檢視在 Kubernetes API 中擁有
get、list 或 watch 存取權限的 secrets 物件的使用者。補救
在可能的情況下,移除
get、list 和 watch 對叢集中的 secret 物件的存取權。