プロファイル適用性: レベル1
特別なグループ
system:mastersは、RBACが完全に利用可能になる前のブートストラップアクセスなど、厳密に必要な場合を除き、ユーザまたはサービスアカウントに権限を付与するために使用すべきではありません。system:mastersグループは、Kubernetes APIへの無制限アクセスがAPIサーバのソースコードにハードコーディングされています。このグループのメンバーである認証済みユーザは、すべてのバインディングおよびそれに言及するクラスター
ロール バインディングが削除されても、アクセスを制限されることはありません。クライアント証明書認証と組み合わせると、このグループの使用により、クラスターに対して取り消し不可能な
cluster-adminレベルの認証情報が存在することができます。 |
注意デフォルトでは、一部のクラスターがこのグループのメンバーである「緊急用」クライアント証明書を作成します。このクライアント証明書へのアクセスは慎重に管理されるべきであり、一般的なクラスター操作には使用しないでください。
|
影響
RBACシステムがクラスターで稼働すると、
system:mastersは特に必要なくなります。制限のないアクセスが必要な場合は、プリンシパルからcluster-adminクラスター ロールへの通常のバインディングを作成できます。監査
クラスターにアクセスできるすべての認証情報のリストを確認し、グループ
system:mastersが使用されていないことを確認してください。修復
すべてのユーザからクラスター内の
system:mastersグループを削除します。