配置檔適用性:第 1 級
服務帳戶的令牌不應該在 Pod 中掛載,除非 Pod 中運行的工作負載明確需要與 API 伺服器進行通信。
在 Pod 內部掛載服務帳戶令牌可能為權限升級攻擊提供途徑,攻擊者能夠入侵集群中的單個 Pod。
避免掛載這些令牌可以消除這種攻擊途徑。
 |
注意默認情況下,所有 Pod 都會掛載一個服務帳戶令牌。
|
影響
未附加服務帳戶令牌的 Pods 將無法與 API 伺服器進行通信,除非該資源對未經身份驗證的主體可用。
審計
檢查集群中的 pod 和服務帳戶對象,並確保以下選項已設置,除非該資源明確需要此訪問權限。
automountServiceAccountToken: false
補救
修改不需要掛載服務帳戶令牌的 pods 和服務帳戶的定義以關閉它。