![]() |
1
2
首先,区分对机密的API访问和将机密作为环境变量或装入的卷使用是很重要的。 TLDR:
RBAC用于控制身份(在您的示例中是服务帐户)是否允许通过K8s API访问资源。您可以通过创建一个RoleBinding(namespaced)或一个ClusterRoleBinding(集群范围),将一个标识绑定到一个角色(namespaced)或一个ClusterRole(非namespaced)绑定到您的标识(服务帐户)。然后,当您通过设置
消费秘密
但是,这与配置pod以将机密作为环境变量或卷装载使用无关。如果pod spec中的容器规范引用了该机密,那么它将在该容器中可用。注意,每个集装箱,而不是每个吊舱。您可以通过在不同的名称空间中使用pod来限制pod可以装载的秘密,因为pod只能引用同一名称空间中的机密。此外,您可以使用服务帐户的
您可以在 secret documentation |
![]() |
2
1
是的,这是正确的。 Bernkuetes对此有记载 privilege escalation via pod creation 命名空间 .
实际上 执行 入口控制器 Open Policy Agent |