プロファイル適用性: レベル1
サービスアカウントトークンは、Pod内で実行されるワークロードが明示的にAPIサーバと通信する必要がある場合を除き、Podにマウントされるべきではありません。
ポッド内にサービスアカウントトークンをマウントすることは、攻撃者がクラスター内の単一のポッドを侵害できる特権昇格攻撃の手段を提供する可能性があります。
これらのトークンのマウントを避けることで、この攻撃経路を排除できます。
 |
注意デフォルトでは、すべてのポッドにサービスアカウントトークンがマウントされます。
|
影響
サービスアカウントトークンなしでマウントされたポッドは、認証されていないプリンシパルが利用できるリソースを除き、APIサーバと通信することができません。
監査
クラスター内のポッドおよびサービスアカウントオブジェクトを確認し、リソースが明示的にこのアクセスを必要としない限り、以下のオプションが設定されていることを確認してください。
SERVICE_ACCOUNTとPOD変数を適切な値に設定してください:
automountServiceAccountToken: false
修復
サービスアカウントトークンをマウントする必要のないポッドとサービスアカウントの定義を変更して無効にします。