为什么 RBAC 不足以保障 Kubernetes 的安全?
RBAC(基于角色的访问控制)是一种常用的授权机制,用于管理对资源的访问权限。在 Kubernetes 中,RBAC 可以帮助管理对 API 对象的访问权限,但它并不足以保障 Kubernetes 的安全。
RBAC 的主要问题在于它只关注授权,而不关注身份认证和审计。这意味着,只要用户能够通过身份认证,就可以获得一些角色,并使用该角色访问系统资源。这可能导致攻击者能够访问和操作系统资源,从而绕过 RBAC 的限制。
为了保障 Kubernetes 的安全,需要使用更为严格的身份认证和审计机制。这可以通过使用诸如 OAuth2、OpenID Connect、LDAP 等身份认证方式来实现。此外,还需要使用审计机制来记录所有对系统资源的访问和操作,以便在发生安全事件时进行调查和分析。
总之,RBAC 不足以保障 Kubernetes 的安全,需要使用更为严格的身份认证和审计机制来保障系统的安全性。
相关·内容
1回答
我已经为有权访问命名空间"X“的用户"A”创建了一个RBAC用户角色和角色绑定。但我希望他只能看到他有权访问的名称空间X)。
我该怎么做呢?
浏览 6提问于2018-11-04得票数 0
因此我创建了两个Pod安全策略:一个允许运行特权容器,另一个用于限制特权容器。“受限”的集群角色,并将该角色绑定到集群中的所有serviceaccount apiVersion: rbac.authorization.k8s.io/v1metadata创建的pod注释指示在pod创建期间验证了psp "privileged“。为什么会这样呢?受限制的PSP应该经过验证,对吗?/psp
k
浏览 89提问于2019-09-23得票数 0
回答已采纳
1回答
当单击skipped时,将显示以下消息:
禁止使用configmap:用户"system:serviceaccount:kube-system:kubernetes-dashboard“不能在名称空间”默认“:未知用户"system:serviceaccount:kube-system:kubernetes-dashboard”中列出configmap。
浏览 0提问于2018-03-03得票数 0
回答已采纳
1回答
我希望使用服务帐户来加强我的集群。现在,所有的吊舱都在使用默认的服务帐户。我认为我的方法是为集群中当前的pod创建一个单独的服务帐户。对我来说,现在的困惑是理解我为每个吊舱分配了哪些角色/集群角色(权限)?对于一些豆荚,我如何确定它是否需要访问集群API?我的集群包含以下内容(为了隐私起见,我删除了IP):NAMETYPE CLUSTER-IP EXTERNAL-IP PORT(S)
浏览 2提问于2022-05-24得票数 0
Kubernetes不允许更新RoleRef of RoleBinding。当我命令如下所示时,kubernetes会显示错误:“无法更改roleRef”kind: ClusterRoleBinding
apiVersion"test-crb" is invalid: roleRef: Invalid value: rbac.RoleRef{APIGroup:"rbac.authorization.k8s.io",
浏览 2提问于2021-09-06得票数 1
回答已采纳
kubectl apply -k config/rbac --namespace default- namekubectl apply -k config/rbac/ --namespace defaultkubectl create -f config/manager/manager.yaml--namespace d
浏览 13提问于2022-07-28得票数 0
1回答
我立即可以通过kubectl访问集群,但是EKS用户指南谈到aws身份验证器,好像它是必需的。还需要这个吗?如果不是,在集群创建之后,身份验证是如何进行的?
浏览 0提问于2020-11-24得票数 0
回答已采纳
我有一个使用kubeadm部署的Kubernetes v1.14 on集群,我的kubernetes-admin用户登录已经被破坏。我想撤销它的证书,但是Kubernetes API服务器没有查找CRL文件的机制。我已经使用一个新的ClusterRoleBinding创建了另一个管理用户。我在googled上搜索了很多,但是我找不到关于这个主题的相关信息,因为它是开源的Kubernetes。
删除“
浏览 2提问于2020-07-22得票数 2
回答已采纳
我在试着运行Kubernetes仪表盘。我遵循了中的步骤。1 12s
重新启动这个吊舱会造成同样的崩溃。:kubernetes-dashboard-head" cannot get secrets in the namespace "kube-system": RBAC: role.rbac.authorization.k8s.io来自此命名空间容器kubernetes-dashbaord-head的kubern
浏览 1提问于2019-02-26得票数 0
为什么不创建pod?我想测试仪表板,但我需要首先按照github上的建议编辑端口类型。由于某种原因,它根本没有创建任何pod。 你知道这是怎么回事吗?kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v1.10.1/src/deploy/recommended/kubernetes-dashboard.yaml
secret/<e
浏览 14提问于2020-11-03得票数 0
当我尝试在azure中添加我的k8s集群时,显示了类似错误的错误:资源映射(没有找到名称):“牛群-管理绑定”命名空间:“STDIN”中的“binding”:“rbac.Authizes.k8s.io/下面是我执行的命令的输出
root@kubeadm-master:~# curl -不安全的-sfL kubectl -f - clusterrolebinding.rbac.authorization.k8s.io
浏览 2提问于2022-08-01得票数 2
当使用启用RBAC的集群在Kubernetes上创建一个简单的pod时,如果为角色启用了pod安全策略,我如何查看成功地使用了哪个PSP来验证请求?集群使用kubeadm部署。
浏览 3提问于2019-11-07得票数 2
回答已采纳
我对kubernetes仪表板安装有异议,感谢您的评论和解决方案。错误:无法解码"":没有为“rbac.Authization.k8s.io/v1”无法解码“”的版本注册任何种类的“角色”:没有为“rbac.Authization.k8s.io/v1”版本“rbac.Authizationk8s.io/v1”注册"RoleBinding“的版本:”app/v1beta 2“没有注册任
浏览 5提问于2018-01-09得票数 1
回答已采纳
最初创建名称空间是为了支持对单个Kubernetes集群进行逻辑分区,以防止命名冲突。随着时间的推移,情况发生了变化。而2016年这篇文章从年开始 sais使用RBAC,现在可以对特定的命名空间设置权限,从而将经过身份验证的<
浏览 0提问于2020-12-08得票数 0
回答已采纳
Kubernetes版本: v1.19.0Annotations: rbac.authorization.kubernetes.io/autoupdate: trueAnnotations: rbac.authorization.kuberne
浏览 3提问于2020-09-12得票数 1
回答已采纳
1回答
无法加载集群中的配置。
、、、、
我编写了一个go应用程序,它将列出cluster.When中的所有违反约束的行为,尝试将其构建为停靠映像,并在我的吊舱中运行并获得此错误。
浏览 1提问于2021-07-30得票数 0
1回答
我试图在内部启动一个仪表板启动管理节点启动网络等待dns启动连接节点/dashboard/master/src/deploy/recommended/<
浏览 3提问于2017-10-24得票数 1
回答已采纳
为什么我们要用PSS代替PSP?基础设计的动机和变化是什么?
PSS和PSP的目标都是只允许在部署之前满足一组安全标准和条件的Pods。例如,以非根用户的身份运行容器,使用卷类型等。PSS和PSP都允许我们使用类似的条件/标准https://kubernetes.io/docs/concepts/security/pod-security-policy。我还读过一些文章,说明PSP在提供和维护方面是很
浏览 0提问于2022-08-22得票数 2
2回答
我试图通过遵循在Ubuntu18.04上设置Kubernetes。
一切都很好,但是当我试图访问本地Kubernetes仪表板时,它会显示为空的,没有任何东西可以像豆荚、服务和部署那样可见。然而,当我运行$> kubectl get pods,svc,deployments时,它显示了下面的output.If命令行显示了为什么我看到空的Kubernetes仪表板的所有细节?有什么解决这个问题的建议吗?禁止使用荚:用户"system:se
浏览 1提问于2020-01-05得票数 6
回答已采纳
我在AWS上与Kubernetes一起玩t2。中型EC2实例有20 on的磁盘空间,几天后其中一个节点就用完了磁盘空间。这似乎是由Docker图像和日志的组合造成的。据我所读,Kubernetes有自己的Docker来管理Docker的磁盘使用和日志旋转。我猜20‘m还不足以让Kubernetes自己管理磁盘的使用。生产环境的安全磁盘大小是多少?
浏览 0提问于2017-01-29得票数 6
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
