Kubernetes 如何在K8s中管理服务帐户令牌的使用?
在Kubernetes中创建ServiceAccount时,也会创建一个秘密。此机密包含ServiceAccountToken。此令牌可以在CI管道中使用,甚至在kubectl和访问集群的任何其他地方。Kubernetes 如何在K8s中管理服务帐户令牌的使用?,kubernetes,cloud,amazon-iam,hashicorp-vault,Kubernetes,Cloud,Amazon Iam,Hashicorp Vault,在Kubernetes中创建ServiceAccount时,也会创建一个秘密。此机密包含ServiceAccountToken。此令牌可以在CI管道中使用,甚至在kubectl和访问集群的任何其他地方。 假设公司中的一个开发人员为自己复制了这个令牌(没有人知道),在他离开公司后,他仍然可以访问我们的Kubernetes集群。我想限制他进入。如何做到这一点?从安全角度来看,使用服务帐户从集群外部使用kubectl或CI/CD系统与kubernetes集群交互并不是最好的方法。您应该使用一个代理,其
假设公司中的一个开发人员为自己复制了这个令牌(没有人知道),在他离开公司后,他仍然可以访问我们的Kubernetes集群。我想限制他进入。如何做到这一点?从安全角度来看,使用服务帐户从集群外部使用kubectl或CI/CD系统与kubernetes集群交互并不是最好的方法。您应该使用一个代理,其中短期JWT令牌的生成和循环被委托给外部OpenId/oAuth授权系统
服务帐户只能从群集中运行的pod中使用,您可以通过角色和角色绑定来限制服务帐户的授权。请记住,当前服务帐户令牌不是由kubernetes进行轮换的。从安全角度来看,使用服务帐户从集群外部使用kubectl或CI/CD系统与kubernetes集群进行交互不是最好的方法。您应该使用一个代理,其中短期JWT令牌的生成和循环被委托给外部OpenId/oAuth授权系统 服务帐户只能从群集中运行的pod中使用,您可以通过角色和角色绑定来限制服务帐户的授权。请记住,当前服务帐户令牌不是由kubernetes轮换的 假设公司中的一个开发人员为自己复制了这个令牌(没有人知道),在他离开公司后,他仍然可以访问我们的Kubernetes集群。我想限制他进入。我该怎么做 是的,这是一个您必须降低的风险 在Kubernetes中,您现在可以使用仅在短时间内有效的令牌,例如一小时。如果可以,请使用。另见。事实上,从安全的角度来看,我认为这对于大多数服务帐户的使用是一种更好的方法 如果您使用Kubernetes本机CI/CD管道,例如,通过使用,您可以使用这些定期轮换的较新令牌进行部署 如果从集群外部部署,@Arghya Sadhu通过使用身份验证代理提供了一个很好的替代方案 在云提供商处使用Kubernetes? 如果您在云提供商处使用Kubernetes并从集群外的CI/CD部署,则它们通常具有联合身份解决方案,例如,或 假设公司中的一个开发人员为自己复制了这个令牌(没有人知道),在他离开公司后,他仍然可以访问我们的Kubernetes集群。我想限制他进入。我该怎么做 是的,这是一个您必须降低的风险 在Kubernetes中,您现在可以使用仅在短时间内有效的令牌,例如一小时。如果可以,请使用。另见。事实上,从安全的角度来看,我认为这对于大多数服务帐户的使用是一种更好的方法 如果您使用Kubernetes本机CI/CD管道,例如,通过使用,您可以使用这些定期轮换的较新令牌进行部署 如果从集群外部部署,@Arghya Sadhu通过使用身份验证代理提供了一个很好的替代方案 在云提供商处使用Kubernetes? 如果您在云提供商处使用Kubernetes并从集群外的CI/CD部署,则它们通常具有联合身份解决方案,例如,或