プロファイル適用性: レベル1
RBACロール
cluster-adminは、環境に対して広範な権限を提供するため、必要な場合にのみ使用するべきです。Kubernetesは、RBACが使用されるデフォルトのロールセットを提供します。これらのロールの中には、
cluster-adminのように、絶対に必要な場合にのみ適用されるべき広範な特権を提供するものがあります。cluster-adminのようなロールは、あらゆるリソースに対してあらゆるアクションを実行するスーパーユーザアクセスを許可します。ClusterRoleBindingで使用されると、クラスター内およびすべてのネームスペース内のすべてのリソースに対する完全な制御を提供します。RoleBindingで使用されると、ロールバインディングのネームスペース内のすべてのリソース、ネームスペース自体を含む、に対する完全な制御を提供します。 |
注意デフォルトでは、
cluster-adminという単一のclusterrolebindingがsystem:mastersグループをプリンシパルとして提供されます。 |
影響
clusterrolebindingsを環境から削除する前に、それがクラスターの運用に必要でないことを確認する必要があります。特に、system:プレフィックスが付いたclusterrolebindingsには変更を加えないでください。これらはシステムコンポーネントの運用に必要です。監査
cluster-adminロールにアクセス権を持つclusterrolebinding出力を確認して、cluster-adminロールにアクセス権を持つプリンシパルのリストを取得します。kubectl get clusterrolebindings -o=custom-columns=NAME:.metadata.name,ROLE:.roleRef.name,SUBJECT:.subjects[*].name
記載されている各プリンシパルを確認し、それに
cluster-admin権限が必要であることを確認してください。修復
すべての
clusterrolebindingsをcluster-adminロールに特定します。それらが使用されているか、またこのロールが必要か、またはより少ない権限のロールを使用できるかを確認します。可能であれば、まずユーザを低権限のロールにバインドし、その後cluster-adminロールへのclusterrolebindingを削除します。kubectl delete clusterrolebinding [name]