設定檔適用性:級別 1
Kubernetes API儲存機密,這些機密可能是Kubernetes API的服務帳戶令牌或集群中工作負載使用的憑證。應將對這些機密的訪問限制在最小可能的使用者群組,以降低權限升級的風險。
不當存取儲存在 Kubernetes 叢集中的秘密可能使攻擊者獲得對 Kubernetes 叢集或憑證以秘密形式儲存的外部資源的額外存取權。
預設值:
CLUSTERROLEBINDING SUBJECT TYPE SA-NAMESPACE cluster-admin system:masters Group system:controller:clusterrole-aggregation-controller clusterrole- aggregation-controller ServiceAccount kube-system system:controller:expand-controller expand-controller ServiceAccount kube-system system:controller:generic-garbage-collector generic-garbage- collector ServiceAccount kube-system system:controller:namespace-controller namespace-controller ServiceAccount kube-system system:controller:persistent-volume-binder persistent-volume- binder ServiceAccount kube-system system:kube-controller-manager system:kube-controller- manager User
影響
應注意不要移除系統元件對秘密的存取權,因為這些元件需要這些秘密來運作。
稽核
檢視在 Kubernetes API 中擁有
get、list 或 watch 存取 secrets 物件的使用者。補救
在可能的情況下,移除對叢集中
secret物件的get、list和watch存取權限。