プロファイル適用性: レベル1
KubernetesのRolesとClusterRolesは、オブジェクトのセットとそれらのオブジェクトに対して実行可能なアクションに基づいてリソースへのアクセスを提供します。これらのいずれかをワイルドカード「*」に設定して、すべての項目に一致させることが可能です。
ワイルドカードの使用は、セキュリティの観点から最適ではありません。これは、新しいリソースがKubernetesAPIにCRDとして、または製品の後のバージョンで追加されたときに、意図しないアクセスが許可される可能性があるためです。
最小権限の原則は、ユーザにその役割に必要なアクセスのみを提供し、それ以上は提供しないことを推奨します。ワイルドカード権限の付与を使用すると、Kubernetes APIに過剰な権限を与える可能性があります。
監査
クラスター内の各ネームスペースで定義されたロールを取得し、ワイルドカードがないか確認してください。
kubectl get roles --all-namespaces -o yaml
クラスターで定義されたクラスターの役割を取得し、ワイルドカードを確認してください。
kubectl get clusterroles -o yaml
修復
可能な場合は、clusterrolesやrolesでのワイルドカードの使用を特定のオブジェクトやアクションに置き換えてください。