配置檔適用性:級別 1
Kubernetes API 儲存秘密,這些秘密可能是 Kubernetes API 的服務帳戶令牌或叢集中的工作負載所使用的憑證。對這些秘密的訪問應限制在最小的用戶群體中,以降低權限升級的風險。
不當訪問存儲在 Kubernetes 集群中的秘密可能使攻擊者獲得對 Kubernetes 集群或存儲為秘密的外部資源的額外訪問權限。
 |
注意預設情況下,以下主體列表對
secret 物件擁有 get 權限:
CLUSTERROLEBINDING SUBJECT TYPE SA-NAMESPACE cluster-admin system:masters Group system:controller:clusterrole-aggregation-controller clusterrole- aggregation-controller ServiceAccount kube-system system:controller:expand-controller expand-controller ServiceAccount kube-system system:controller:generic-garbage-collector generic-garbage- collector ServiceAccount kube-system system:controller:namespace-controller namespace-controller ServiceAccount kube-system system:controller:persistent-volume-binder persistent-volume- binder ServiceAccount kube-system system:kube-controller-manager system:kube-controller- manager User |
影響
應注意不要移除系統組件所需的秘密訪問權限,以免影響其運作。
審計
檢查在 Kubernetes API 中擁有
get、list 或 watch 存取權的 secrets 物件的使用者。補救
在可能的情況下,移除對叢集中的
secret 物件的 get、list 和 watch 存取權限。