配置 CIS Kubernetes 合規性檢查,以維護豁免用戶和角色的列表,以符合安全政策控制和標準。這包括 CIS 檢查 5.1.1 到 5.1.4 和檢查 5.1.6。請參閱您
PDF 或 CSV 報告中的這些檢查錯誤訊息,然後更新合規掃描中的相應配置設置,以解決報告中的錯誤。
如需有關CIS基準的詳細資訊,請參閱Kubernetes 1.9.0 推薦。
下表描述了應針對 CIS Kubernetes 檢查更新的合規配置設定。
 |
注意在進行更新後,請在執行新的掃瞄之前保存任何新的合規性配置設定。
|
| CIS 基準檢查 | 合規性掃瞄配置設定 | 配置設定值 |
|
5.1.1
|
叢集管理員角色
|
使用者
|
|
5.1.2
|
機密權限
|
使用者
|
|
5.1.3
|
角色萬用字元
|
角色/叢集規則
|
|
5.1.4
|
Pods 建立權限 |
使用者
|
|
5.1.6
|
允許在 Pod 上掛載服務帳戶令牌
|
Pod 的服務帳戶
|
配置變更範例
例如,對於 CIS 檢查 5.1.6,您可能會看到如下的失敗訊息:
"Pod 服務帳戶
coredns,kindnet 已掛載服務帳戶憑證,且 automountServiceAccountToken 設定為 true。請檢查 Pod 服務帳戶,並在需要時將它們添加到 已掛載服務帳戶憑證的 Pods 清單中,以豁免 Pod 服務帳戶的檢查。"在合規掃瞄頁面,您可以根據合規掃瞄報告中的上述錯誤訊息,新增「允許在 Pods 上使用服務帳戶令牌」的合規掃瞄配置設定,值為「
coredns,kindnet」。在更新並儲存這些設定後,當下一次合規性掃瞄執行時,此檢查應該會暫不處理。
|
注意如果 CIS 符合性檢查在符合性報告中返回錯誤訊息
無法執行檢查,請聯絡技術支援中心。 |