プロファイル適用性: レベル1 - マスターノード
apiserver上のサービスアカウントに対してサービスアカウントの公開鍵ファイルを明示的に設定します。
デフォルトでは、
--service-account-key-fileがapiserverに指定されていない場合、TLSサービング証明書の秘密鍵を使用してサービスアカウントトークンを検証します。サービスアカウントトークンの鍵を必要に応じてローテーションできるようにするためには、サービスアカウントトークンの署名には別の公開/秘密鍵ペアを使用する必要があります。そのため、公開鍵は--service-account-key-fileでapiserverに指定する必要があります。 |
注意デフォルトでは、
--service-account-key-file引数は設定されていません。 |
影響
対応する秘密鍵をコントローラーマネージャに提供する必要があります。鍵ファイルを安全に管理し、組織の鍵ローテーションポリシーに基づいて鍵をローテーションする必要があります。
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--service-account-key-file 引数が存在し、適切に設定されていることを確認してください。修復
コントロールプレーンノードでAPIサーバポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、サービスアカウントの公開鍵ファイルに--service-account-key-fileパラメータを設定してください。--service-account-key-file=<filename>