プロファイル適用性: レベル2 - マスターノード
サービスアカウント管理を自動化します。
Podを作成する際にサービスアカウントを指定しない場合、同じネームスペース内の
defaultサービスアカウントが自動的に割り当てられます。独自のサービスアカウントを作成し、APIサーバにそのセキュリティトークンを管理させるべきです。 |
注意デフォルトでは、
ServiceAccountが設定されています。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--disable-admission-plugins引数がServiceAccountを含まない値に設定されていることを確認してください。修復
ドキュメントに従い、環境に応じて
ServiceAccountオブジェクトを作成してください。その後、マスターノード上のAPIサーバポッド仕様ファイル/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、--disable-admission-pluginsパラメータにServiceAccountが含まれない値が設定されていることを確認してください。