OpenShift - Missing Service Account
Last updated
Last updated
クラスターが事前に設定されたテンプレートで展開され、まだ作成されていないサービスアカウントに自動的にロール、ロールバインディング、さらにはSCCが設定されていることがあります。これは、それらを作成できる場合に特権昇格につながる可能性があります。この場合、新しく作成されたSAのトークンと関連付けられたロールまたはSCCを取得できます。同様のケースは、欠落しているSAが欠落しているプロジェクトの一部である場合にも発生します。この場合、プロジェクトとその後SAを作成できる場合、関連付けられたロールとSCCを取得できます。
前のグラフでは、Roles BindingsまたはSCCに表示されるがまだクラスターに作成されていない複数のプロジェクトがあることを示しています。同様に、欠落しているサービスアカウントもあります。
プロジェクトと欠落しているSAを作成できる場合、SAはAbsentServiceAccountを対象としていたロールまたはSCCから継承されます。これにより特権昇格が発生する可能性があります。
次の例は、node-exporter SCCが付与された欠落しているSAを示しています:
次のツールは、この問題を列挙し、より一般的にOpenShiftクラスターをグラフ化するために使用できます: