OpenShift - Missing Service Account
Last updated
Last updated
Oluşturulmuş bir kümenin, henüz oluşturulmamış bir hizmet hesabına otomatik olarak Roller, RolAtamaları ve hatta SCC ayarlayan önceden yapılandırılmış bir şablonla dağıtıldığı durumlar meydana gelebilir. Bu durum, bunları oluşturabildiğiniz durumlarda ayrıcalık yükseltmesine yol açabilir. Bu durumda, yeni oluşturulan SA'nın belirli rol veya SCC ile ilişkilendirilmiş tokenini alabilirsiniz. Aynı durum, eksik SA'nın eksik bir projenin parçası olduğunda da meydana gelir, bu durumda projeyi oluşturabilir ve ardından SA'yı oluşturabilirseniz, ilişkilendirilmiş Roller ve SCC'yi alırsınız.
Önceki grafikte, Roller Atamalarında veya SCC'de görünen ancak henüz kümede oluşturulmamış olan birden fazla EksikProje anlamına gelen birden fazla proje elde ettik. Aynı şekilde, EksikHizmetHesabı da elde ettik.
Bir projeyi ve içindeki eksik SA'yı oluşturabilirsek, SA, EksikHizmetHesabını hedefleyen Rol veya SCC'den miras alacaktır. Bu da ayrıcalık yükseltmesine yol açabilir.
Aşağıdaki örnek, node-exporter SCC'sine izin verilen eksik bir SA'yı göstermektedir:
Aşağıdaki araç, bu sorunu sıralamak ve genel olarak bir OpenShift kümesini grafikleştirmek için kullanılabilir:
