設定檔適用性:級別 1
除非在絕對必要的情況下(例如在 RBAC 完全可用之前的引導存取),否則不應使用特殊群組
system:masters 來授予任何使用者或服務帳戶權限system:masters 群組在 API 伺服器的原始碼中被硬編碼,擁有對 Kubernetes API 的不受限制的存取權。即使移除所有提到此群組的綁定和叢集角色綁定,屬於此群組的已驗證使用者的存取權也無法被降低。當與用戶端憑證驗證結合使用時,使用此群組可以使集群中存在不可撤銷的集群管理員級別憑證。
GKE 包含
CertificateSubjectRestriction 准入控制器,該控制器會拒絕 system:masters 群組的請求。CertificateSubjectRestriction 「此准入控制器監控具有 spec.signerName 為 kubernetes.io/kube-apiserver-client 的 CertificateSigningRequest 資源的創建。它會拒絕任何指定 'group'(或 'organization attribute')為 system:masters 的請求。」請參閱 Kubernetes 文件 以獲取詳細資訊。 |
注意預設情況下,某些叢集會創建一個屬於此群組的「破窗」用戶端憑證。對此用戶端憑證的存取應謹慎控制,且不應用於一般叢集操作。
|
影響
一旦 RBAC 系統在叢集中運行,
system:masters 不應被特別要求,因為在需要不受限制的訪問時,可以將主體與 cluster-admin 叢集角色進行普通綁定。稽核
檢查所有有權訪問叢集的憑證列表,確保未使用群組
system:masters。補救
從叢集中的所有使用者移除
system:masters群組。