プロファイル適用性: レベル1
KubernetesAPIは、KubernetesAPIのサービスアカウントトークンやクラスタ内のワークロードで使用される認証情報などの秘密を保存します。これらの秘密へのアクセスは、特権昇格のリスクを減らすために可能な限り少数のユーザに制限する必要があります。
Kubernetesクラスター内に保存されたシークレットへの不適切なアクセスは、攻撃者がKubernetesクラスターや認証情報がシークレットとして保存されている外部リソースへの追加アクセスを得ることを可能にします。
 |
注意デフォルトでは、次のプリンシパルのリストが
secretオブジェクトに対するget権限を持っています。 |
影響
システムコンポーネントが動作に必要とするシークレットへのアクセスを削除しないよう注意してください
監査
KubernetesAPIで
secretsオブジェクトに対してget、list、またはwatchアクセス権を持つユーザを確認してください。修復
可能であれば、クラスター内の
secretオブジェクトへのget、list、watchアクセスを削除してください。CLUSTERROLEBINDING SUBJECT TYPE SA-NAMESPACE cluster-admin system:masters Group system:controller:clusterrole-aggregation-controller clusterrole- aggregation-controller ServiceAccount kube-system system:controller:expand-controller expand-controller ServiceAccount kube-system system:controller:generic-garbage-collector generic-garbage- collector ServiceAccount kube-system system:controller:namespace-controller namespace-controller ServiceAccount kube-system system:controller:persistent-volume-binder persistent-volume- binder ServiceAccount kube-system system:kube-controller-manager system:kube-controller- manager User