7.2. 识别 Kubernetes 角色中的错误配置
您可以使用 Configuration Management 视图来识别潜在的错误配置,如用户、组或服务帐户授予 cluster-admin
角色或没有被任何人授予的角色。
7.2.1. 查找 Kubernetes 角色是其分配
使用 Configuration Management 视图来获取哪些 Kubernetes 角色被分配给特定的用户和组的信息。
流程
- 进入 RHACS 门户,从左侧导航菜单中点击 Configuration Management。
-
在 Configuration Management 视图的头中选择 RBAC Visibility and Configuration → Users and Groups。Users 和 Groups 视图显示 Kubernetes 用户和组、其分配角色的列表,以及是否为每个都启用了
cluster-admin
角色。 - 选择用户或组来查看有关关联集群和命名空间权限的更多详情。
7.2.2. 查找服务帐户及其权限
使用 Configuration Management 视图找出服务帐户使用的位置及其权限。
流程
- 进入 RHACS 门户,从左侧导航菜单中点击 Configuration Management。
-
在 Configuration Management 视图的标头中选择 RBAC Visibility and Configuration → Service Accounts。Service Accounts 视图显示集群中 Kubernetes 服务帐户的列表,它们分配的角色(是否启用了
cluster-admin
角色),以及哪些部署使用了它们。 - 选择一个行或带有下划线的链接来查看更多详情,包括为所选服务帐户授予哪些集群和命名空间权限。
7.2.3. 查找未使用的 Kubernetes 角色
使用 Configuration Management 视图来获取 Kubernetes 角色的更多信息,并查找未使用的角色。
流程
- 进入 RHACS 门户,从左侧导航菜单中点击 Configuration Management。
- 在 Configuration Management 视图的头中选择 RBAC Visibility and Configuration → Roles。Roles 视图显示集群中的 Kubernetes 角色列表、它们授予的权限以及使用它们的位置。
- 选择一个一行或带有下划线的链接来查看与角色相关的更多详情。
- 要查找未授予任何用户、组或服务帐户的角色,请选择" 用户和组" 列标题。然后在按住 Shift 键时选择 Service Account 列标题。列表中显示不授予任何用户、组或服务帐户的角色。