設定檔適用性:級別 1
Kubernetes 角色和集群角色根據可對這些物件執行的物件和動作集合提供資源存取。可以將其中任一設置為通配符 "*",以匹配所有項目。
從安全角度來看,使用萬用字元並不理想,因為當新資源以 CRD 或產品的後續版本形式添加到 Kubernetes API 時,可能會允許無意中授予訪問權限。
最小權限原則建議僅提供使用者其角色所需的存取權,且不多於此。使用萬用字元權限授予可能會提供過多的 Kubernetes API 權限。
稽核
檢索叢集中每個命名空間中定義的角色並檢查是否有通配符:
kubectl get roles --all-namespaces -o yaml
檢索叢集中定義的叢集角色並檢查是否有萬用字元:
kubectl get clusterroles -o yaml
補救
在可能的情況下,將 clusterroles 和 roles 中使用的任何萬用字元替換為特定的物件或動作。