プロファイル適用性: レベル1
すべてのリクエストを許可しないでください。明示的な承認を有効にしてください。
Kubeletsは、apiserverからの明示的な認可チェックを必要とせずに、すべての認証済みリクエスト (匿名のものも含む) を許可するように設定できます。この動作を制限し、明示的に認可されたリクエストのみを許可するべきです。
 |
注意EKSのドキュメントでデフォルト値を確認してください。
|
影響
不正なリクエストは拒否されます。
監査
監査方法1:
Kubeletsは設定ファイルを介して設定を受け入れることができ、場合によってはCommand Line引数を介して設定を受け入れることもできます。Command
Line引数として提供されたパラメータは、設定ファイル内の対応するパラメータを上書きすることに注意してください。詳細については、Kubelet CLIレファレンス/参照情報の
--configの詳細を参照してください。また、どの設定パラメータがCommand Line引数として提供できるかも確認できます。これを念頭に置いて、Kubeletの設定を監査する際には、Command Line引数の存在と設定ファイルのエントリを確認することが重要です。
-
各ノードにSSHで接続し、次のコマンドを実行してKubeletプロセスを見つけてください。
ps -ef | grep kubelet
上記のコマンドの出力は、アクティブなKubeletプロセスの詳細を提供し、プロセスに提供されたCommand Line引数を確認できます。また、--config引数で指定された設定ファイルの場所に注意してください。これは設定を確認するために必要です。 -
ファイルは
moreやlessなどのコマンドで次のように表示できます:sudo less /path/to/kubelet-config.json
-
Webhook認証が有効になっていることを確認してください。これは、kubeletサービスへのCommand Line引数として
--authentication-token-webhookを使用するか、kubelet設定ファイルで"authentication": { "webhook": { "enabled": true } }を使用して有効にすることができます。 -
Authorization ModeがWebHookに設定されていることを確認してください。これは、kubeletサービスに対するCommand Line引数として
--authorization-mode=Webhookを使用するか、設定ファイルで"authorization": { "mode": "Webhook" }として設定できます。
監査方法2:
Kubernetes APIの
/configzエンドポイントを通じて、Kubeletの実行中の設定を確認することも可能です。これはkubectlを使用してAPIへのリクエストをプロキシすることで実現できます。-
次のコマンドを実行して、クラスター内のすべてのノードを発見してください。
kubectl get nodes
-
kubectlを使用して、任意のローカルポートでプロキシを開始します。この例では8080を使用します。kubectl proxy --port=8080
-
これを実行した状態で、別のターミナルで各ノードに対して次のコマンドを実行してください。
export NODE_NAME=my-node-name curl http://localhost:8080/api/v1/nodes/${NODE_NAME}/proxy/configzcurlコマンドは、Kubelet構成を表すJSON形式の文字列であるAPI対応を返します。 -
API対応で
"authentication": { "webhook": { "enabled": true } }としてWebhook認証が有効になっていることを確認してください。 -
API対応で
"authorization": { "mode": "Webhook" }として認証モードがWebHookに設定されていることを確認してください。
修復
修復方法1:
-
Kubelet設定ファイルを使用して構成する場合、各ノードにSSHで接続し、次のコマンドを実行してkubeletプロセスを見つけてください。
ps -ef | grep kubelet
出力にはアクティブなkubeletプロセスの詳細が含まれており、--config引数でkubeletサービスに提供される設定ファイルの場所が確認できます。 -
ファイルは
moreやlessなどのコマンドで次のように表示できます:sudo less /path/to/kubelet-config.json
-
次のパラメータを設定してWebhook認証を有効にします。
"authentication": { "webhook": { "enabled": true } } -
次に、以下のパラメータを設定して、認証モードをWebhookに設定します。
"authorization": { "mode": "Webhook" }認証および認可フィールドの詳細については、Kubelet Configuration documentationをご参照ください。
修復方法2:
実行可能な引数を使用する場合、各ワーカーノードのkubeletサービスファイルを編集し、以下のパラメータが
KUBELET_ARGS変数文字列の一部であることを確認してください。systemdを使用するシステム、例えばAmazon EKS最適化Amazon LinuxやBottlerocket AMIの場合、このファイルは/etc/systemd/system/kubelet.service.d/10-kubelet-args.confにあります。それ以外の場合は、選択したOSのドキュメントを参照して、どのサービスマネージャが設定されているかを確認する必要があります。--authentication-token-webhook --authorization-mode=Webhook
両方の修復手順について:
お使いのシステムに基づいて、
kubeletサービスを再起動し、サービスの状態を確認してください。以下の例は、Amazon EKS Optimised Amazon LinuxやBottlerocket AMIなど、systemdを使用するOS向けであり、systemctlコマンドを呼び出します。systemctlが利用できない場合は、選択したOSのドキュメントを参照して、どのサービスマネージャが設定されているかを確認する必要があります。systemctl daemon-reload systemctl restart kubelet.service systemctl status kubelet -l