OpenShift - Missing Service Account
Last updated
Last updated
Συμβαίνει να έχει υλοποιηθεί το cluster με προκαθορισμένο πρότυπο που ρυθμίζει αυτόματα τους Ρόλους, τις Συσχετίσεις Ρόλων (RoleBindings) και ακόμη και τον Έλεγχο Πρόσβασης Ασφαλείας (SCC) σε έναν λογαριασμό υπηρεσίας που δεν έχει δημιουργηθεί ακόμη. Αυτό μπορεί να οδηγήσει σε ανάκληση προνομίων στην περίπτωση όπου μπορείτε να τους δημιουργήσετε. Σε αυτήν την περίπτωση, θα μπορούσατε να λάβετε το διακριτικό (token) του νεοδημιουργημένου λογαριασμού υπηρεσίας (SA) και τον ρόλο ή το SCC που σχετίζεται. Το ίδιο σενάριο συμβαίνει όταν ο λείπων Λογαριασμός Υπηρεσίας είναι μέρος ενός λείποντος έργου, σε αυτήν την περίπτωση αν μπορείτε να δημιουργήσετε το έργο και στη συνέχεια τον Λογαριασμό Υπηρεσίας, τότε λαμβάνετε τους Ρόλους και το SCC που σχετίζονται.
Στο προηγούμενο γράφημα είχαμε πολλαπλά Απουσιάζοντα Έργα που σημαίνει πολλαπλά έργα που εμφανίζονται σε Συσχετίσεις Ρόλων ή SCC αλλά δεν έχουν δημιουργηθεί ακόμη στο cluster. Με τον ίδιο τρόπο, είχαμε επίσης έναν Απουσιάζοντα Λογαριασμό Υπηρεσίας.
Αν μπορούμε να δημιουργήσουμε ένα έργο και τον λείποντα Λογαριασμό Υπηρεσίας μέσα σε αυτό, ο Λογαριασμός Υπηρεσίας θα κληρονομήσει τον Ρόλο ή το SCC που επικεντρώνονταν στον Απουσιάζοντα Λογαριασμό Υπηρεσίας. Αυτό μπορεί να οδηγήσει σε ανάκληση προνομίων.
Το παρακάτω παράδειγμα δείχνει έναν λείποντα Λογαριασμό Υπηρεσίας που έχει χορηγηθεί το SCC node-exporter:
Το παρακάτω εργαλείο μπορεί να χρησιμοποιηθεί για να απαριθμήσει αυτό το ζήτημα και γενικότερα για να δημιουργήσει γράφημα ενός cluster OpenShift:
