/etc/kubernetes/pki/ca.crtへのアクセスを許可する必要がある人は誰ですか?

/etc/kubernetes/pki/ca.crtへのアクセスを許可する必要がある人は誰ですか?

初心者の質問です。

/etc/kubernetes/pki/ca.crtへのアクセスを誰に許可しますか?

クラスタ管理者以外の人が証明書にアクセス(コピーと展開、更新/削除など)した場合、クラスタにどのようなダメージが発生しますか?

/etc/kubernetes/pki/ca.crtおよび/etc/kubernetes/pki/ca.keyを使用して署名された証明書が更新または削除されるとどうなりますか?失敗しますか?

答え1

ファイルは通常、読み取り専用アクセスの面では敏感ではありません(マイナーな情報漏えいがありますが、ほとんどのクラスタオペレータは気にしないようです)。これへの簡単なアクセスを許可すると、クライアントはAPIサーバー(このCAによって署名された他の証明書と一緒に)に接続して接続を確認できます。

修正/交換を許可するかどうかは、修正/交換の場所と方法によって異なります。 Kubernetesが提供するconfigmapを変更してこれをkube-root-ca.crt行うと、クライアントが接続を確認できないため、クラスタ接続が失敗する可能性があります。

コントロールプレーンノードでファイルを変更すると、状況がさらに深刻になる可能性があります。具体的には、そのファイルの権限を変更すると(通常は644 root:rootに設定されています)、攻撃者はca.keyファイルを読み込んで修正する可能性があります。この場合、攻撃者は事実上クラスタを完全に制御できます。

関連情報