配置檔適用性:級別 1
RBAC 角色
cluster-admin 提供對環境的廣泛權限,應僅在必要時使用。Kubernetes 提供了一組預設角色,其中使用了 RBAC。一些角色,例如
cluster-admin,提供了廣泛的權限,這些權限應僅在絕對必要時使用。像 cluster-admin 這樣的角色允許超級用戶對任何資源執行任何操作。當在 ClusterRoleBinding 中使用時,它對集群中的每個資源及所有命名空間提供完全控制。當在 RoleBinding 中使用時,它對角色綁定的命名空間中的每個資源,包括命名空間本身,提供完全控制。 |
注意預設情況下,提供一個名為
cluster-admin 的單一 clusterrolebinding,其主要成員為 system:masters 群組。 |
影響
在移除任何
clusterrolebindings 之前,應謹慎行事,以確保它們對叢集的運作並非必需。具體而言,不應對帶有 system: 前綴的 clusterrolebindings 進行修改,因為它們對系統組件的運作是必需的。審計
查看每個具有
cluster-admin 角色訪問權限的角色綁定的 clusterrolebinding 輸出,以獲取擁有 cluster-admin 角色訪問權限的主體列表。kubectl get clusterrolebindings -o=custom- columns=NAME:.metadata.name,ROLE:.roleRef.name,SUBJECT:.subjects[*].name
請檢查每個列出的主要項目,並確保需要
cluster-admin 權限。補救
識別所有
clusterrolebindings 到 cluster-admin 角色。檢查它們是否被使用,以及它們是否需要此角色,或者是否可以使用具有較少權限的角色。在可能的情況下,首先將用戶綁定到較低權限的角色,然後移除對
cluster-admin角色的clusterrolebinding。kubectl delete clusterrolebinding [name]