設定檔適用性:等級 1 - 主節點
在驗證令牌之前驗證服務帳戶。
如果未啟動
--service-account-lookup,apiserver僅驗證驗證令牌是否有效,並不驗證請求中提到的服務帳戶令牌是否實際存在於etcd中。這允許在刪除相應的服務帳戶後仍然使用服務帳戶令牌。這是檢查時間到使用時間的安全問題示例。 |
注意預設情況下,
--service-account-lookup 參數設為 true。 |
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--service-account-lookup 參數是否存在,並確認其設定為 true。補救
編輯控制平面節點上的 API 伺服器 Pod 規範檔案 /etc/kubernetes/manifests/kube-apiserver.yaml,並設定以下參數。
--service-account-lookup=true
或者,您可以從此檔案中刪除
--service-account-lookup 參數,以便預設值生效。