プロファイル適用性: レベル 1 - マスターノード
RBAC ロール
cluster-admin は環境に対して広範な権限を提供し、必要な場合にのみ使用する必要があります。Kubernetes は、RBAC が使用されるデフォルトのロールセットを提供します。これらのロールの中には、
cluster-admin のように、絶対に必要な場合にのみ適用すべき広範な特権を提供するものがあります。cluster-admin のようなロールは、あらゆるリソースに対してあらゆるアクションを実行するためのスーパー ユーザ アクセスを許可します。ClusterRoleBinding で使用されると、クラスター内およびすべてのネームスペース内のすべてのリソースに対する完全な制御を提供します。RoleBinding で使用されると、ネームスペース自体を含む、そのロールバインディングのネームスペース内のすべてのリソースに対する完全な制御を提供します。 |
注意デフォルトでは、
system:masters グループを主要なものとして持つ cluster-admin という clusterrolebinding が1つ提供されます。 |
影響
クラスターの運用に必要でないことを確認するために、環境から
clusterrolebindingsを削除する前に注意を払う必要があります。特に、system:プレフィックスが付いたclusterrolebindingsには変更を加えないでください。これらはシステムコンポーネントの運用に必要です。監査
cluster-admin ロールにアクセスできるプリンシパルのリストを取得するには、clusterrolebinding 出力を確認し、cluster-admin ロールにアクセスできる各ロールバインディングを確認します。kubectl get clusterrolebindings -o=custom-columns=NAME:.metadata.name,ROLE:.roleRef.name,SUBJECT:.subjects[*].name
各プリンシパルを確認し、
cluster-admin 権限が必要であることを確認してください。修復
すべての
clusterrolebindingsをcluster-adminロールに特定します。それらが使用されているかどうか、またこのロールが必要かどうか、またはより少ない権限のロールを使用できるかどうかを確認します。可能であれば、まずユーザを低い権限のロールにバインドし、その後
clusterrolebindingをcluster-adminロールから削除します:kubectl delete clusterrolebinding [name]