プロファイル適用性: レベル1
RBACロール
cluster-admin
は、環境に対して広範な権限を提供するため、必要な場合にのみ使用するべきです。Kubernetesは、RBACが使用される一連のデフォルトロールを提供します。これらのロールの中には、
cluster-admin
のように、絶対に必要な場合にのみ適用すべき広範な特権を提供するものがあります。cluster-admin
のようなロールは、あらゆるリソースに対して任意のアクションを実行するスーパーユーザアクセスを許可します。ClusterRoleBinding
で使用されると、クラスター内およびすべてのネームスペース内のすべてのリソースに対する完全な制御を提供します。RoleBinding
で使用されると、ロールバインディングのネームスペース自体を含む、そのネームスペース内のすべてのリソースに対する完全な制御を提供します。![]() |
注意デフォルトでは、
clusterrolebinding という単一の cluster-admin が system:masters グループをプリンシパルとして提供されます。 |
影響
環境から
clusterrolebindings
を削除する前に、それがクラスタの運用に必要でないことを確認する必要があります。特に、system:
プレフィックスが付いたclusterrolebindings
には変更を加えてはいけません。これらはシステムコンポーネントの運用に必要です。監査
cluster-admin
ロールにアクセスできるプリンシパルのリストを取得するには、cluster-admin
ロールにアクセスできる各ロールバインディングのclusterrolebinding
出力を確認してください。kubectl get clusterrolebindings -o=custom- columns=NAME:.metadata.name,ROLE:.roleRef.name,SUBJECT:.subjects[*].name
記載されている各プリンシパルを確認し、それに
cluster-admin
権限が必要であることを確認してください。修復
すべての
clusterrolebindings
をcluster-admin
ロールに特定します。それらが使用されているか、このロールが必要か、またはより少ない権限のロールを使用できるかを確認します。可能であれば、まずユーザを低権限のロールにバインドし、その後cluster-admin
ロールへのclusterrolebinding
を削除します。kubectl delete clusterrolebinding [name]