k8s servcie account 安全性疑问
有个问题一直没想明白。
service account是用于pod组件想去调用api server而设计的对吧,通过在pod yaml的serviceAccountName填写一个定义好的service account资源名称指定,那么pod就具有此sa对应权限了。
那问题是我知道service account名称就可以让我定义的pod有对应权限了,比如我指定高权限的service account,pod就可以干删除等“坏事”?感觉怪怪的,就类似service account名称变成了保证安全性的东西了,泄漏service account名称就等于账号泄漏了?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
没明白你的意思,Service Account 不还得有配套的 AccountTokenSecret 才行?你是说俩都泄露了?这就相当于用户名和密码都泄露了啊,当然不就不安全了?
不是只有名字就可以,pod 只能使用跟自己同 namespace 的 sa。
一般的 namespace 里没有高权限的 sa 啊,一般都是只有一个 default ,连读权限都没有。
没有管理权限的话,可能只能使用限定 namespace 的资源,根本没有高权限 sa 可以给你指定。