プロファイル適用性: レベル1
特別なグループ
system:mastersは、RBACが完全に利用可能になる前のブートストラップアクセスなど、厳密に必要な場合を除き、ユーザやサービスアカウントに権限を付与するために使用すべきではありませんsystem:mastersグループは、APIサーバのソースコードにハードコーディングされたKubernetes APIへの無制限のアクセス権を持っています。このグループのメンバーである認証済みユーザは、すべてのバインディングとクラスタロールバインディングが削除されても、そのアクセス権を減少させることはできません。クライアント証明書認証と組み合わせると、このグループの使用により、クラスターに対して取り消し不可能なクラスター管理者レベルの認証情報が存在する可能性があります。
GKEには、
CertificateSubjectRestrictionアドミッションコントローラーが含まれており、system:mastersグループへのリクエストを拒否します。CertificateSubjectRestriction このアドミッションコントローラーは、spec.signerNameがkubernetes.io/kube-apiserver-clientであるCertificateSigningRequestリソースの作成を監視します。system:mastersの「グループ」(または「組織属性」) を指定するリクエストを拒否します。詳細については、Kubernetesのレファレンス/参照情報を参照してください。 |
注意デフォルトでは、いくつかのクラスターがこのグループのメンバーである「ブレークグラス」クライアント証明書を作成します。このクライアント証明書へのアクセスは慎重に管理されるべきであり、一般的なクラスター操作には使用されるべきではありません。
|
影響
RBACシステムがクラスタで稼働している場合、
system:mastersは特に必要ありません。制限のないアクセスが必要な場合は、プリンシパルからcluster-adminクラスタロールへの通常のバインディングを行うことができます。監査
クラスターにアクセスできるすべての認証情報のリストを確認し、グループ
system:mastersが使用されていないことを確認してください。修復
すべてのユーザから
system:mastersグループをクラスターから削除します。