OpenShift - Missing Service Account
Last updated
Last updated
Dit gebeur dat 'n groep geïmplementeer word met 'n voorafgekonfigureerde templaat wat outomaties Rolle, RolBindings en selfs SCC instel vir 'n diensrekening wat nog nie geskep is nie. Dit kan lei tot voorreg-escalasie in die geval waar jy hulle kan skep. In hierdie geval sal jy in staat wees om die token van die nuut geskepte SA en die rol of SCC wat daarmee geassosieer is, te kry. Dieselfde geval gebeur wanneer die ontbrekende SA deel is van 'n ontbrekende projek, in hierdie geval as jy die projek en dan die SA kan skep, kry jy die Rolle en SCC wat daarmee geassosieer is.
In die vorige grafiek het ons verskeie AfwesigeProjekte gekry wat beteken dat verskeie projekte in RolBindings of SCC verskyn, maar nog nie geskep is in die groep nie. Op dieselfde wyse het ons ook 'n AfwesigeDiensrekening gekry.
As ons 'n projek en die ontbrekende SA daarin kan skep, sal die SA geërf word van die Rol of die SCC wat gemik was op die AfwesigeDiensrekening. Dit kan lei tot voorreg-escalasie.
Die volgende voorbeeld wys 'n ontbrekende SA wat node-exporter SCC toegeken word:
Die volgende gereedskap kan gebruik word om hierdie probleem op te som en meer algemeen 'n grafiek van 'n OpenShift groep te maak:
