プロファイル適用性: レベル1
KubernetesのRolesとClusterRolesは、オブジェクトのセットとそれらのオブジェクトに対して行えるアクションに基づいてリソースへのアクセスを提供します。これらのいずれかをワイルドカード「*」に設定することが可能で、すべての項目に一致します。
ワイルドカードの使用はセキュリティの観点から最適ではありません。新しいリソースがKubernetesAPIにCRDとして追加されたり、製品の後のバージョンで追加されたりすると、意図しないアクセスが許可される可能性があるためです。
最小特権の原則は、ユーザにその役割に必要なアクセスのみを提供し、それ以上は提供しないことを推奨します。ワイルドカード権限の使用は、Kubernetes APIに過剰な権限を与える可能性があります。
監査
クラスター内の各ネームスペースで定義されたロールを取得し、ワイルドカードを確認してください。
kubectl get roles --all-namespaces -o yaml
クラスターで定義されたクラスターの役割を取得し、ワイルドカードを確認してください。
kubectl get clusterroles -o yaml
修復
可能な場合は、clusterrolesやrolesでのワイルドカードの使用を特定のオブジェクトやアクションに置き換えてください。