9.2. 识别 Kubernetes 角色中的错误配置

您可以使用 Configuration Management 视图来识别潜在的错误配置,如被授予 cluster-admin 角色的用户、组或服务帐户,或者未向任何人授予的角色。

9.2.1. 查找 Kubernetes 角色是其分配

使用 配置管理 视图获取有关将哪些 Kubernetes 角色分配给特定用户和组的信息。

流程

  1. 进入 RHACS 门户,从左侧导航菜单中点 Configuration Management
  2. Configuration Management 视图的头中选择 RBAC Visibility and ConfigurationUsers and GroupsUsers and Groups 视图显示 Kubernetes 用户和组列表、它们分配的角色,以及是否为每个角色都启用了 cluster-admin 角色。
  3. 选择用户或组来查看关联的集群和命名空间权限的更多详情。

9.2.2. 查找服务帐户及其权限

使用 Configuration Management 视图来查找服务帐户正在使用的位置及其权限。

流程

  1. 进入 RHACS 门户,从左侧导航菜单中点 Configuration Management
  2. Configuration Management 视图的标头中选择 RBAC Visibility and ConfigurationService AccountsService Accounts 视图显示集群中的 Kubernetes 服务帐户列表、其分配的角色,以及是否启用 cluster-admin 角色,以及部署使用它们的部署。
  3. 选择一个行或下划线链接来查看更多详情,包括为所选服务帐户授予哪个集群和命名空间权限。

9.2.3. 查找未使用的 Kubernetes 角色

使用 Configuration Management 视图来获取有关 Kubernetes 角色的更多信息,并查找未使用的角色。

流程

  1. 进入 RHACS 门户,从左侧导航菜单中点 Configuration Management
  2. Configuration Management 视图的头中选择 RBAC Visibility and ConfigurationRolesRoles 视图显示集群中的 Kubernetes 角色列表、它们授予的权限以及使用位置。
  3. 选择一个行或下划线链接来查看角色的更多详情。
  4. 要查找未授予任何用户、组或服务帐户的角色,请选择 Users & Groups 列标头。然后在保存 Shift 键时选择 Service Account 列标头。列表中显示没有授予任何用户、组或服务帐户的角色。